La protection des données du noyau (KDP) rend Windows 10 plus sûr

Microsoft a dévoilé une nouvelle fonctionnalité de
Windows 10 qui vise à contrer les cyberattaques
rendant impossible pour les attaquants de modifier les parties sensibles
mémoire du noyau contenant les données d’un PC. La fonctionnalité est appelée
Protection des données du noyau, KDP pour faire court. Microsoft,
via un message de
Andrea Allievi, ingénieur principal du système d’exploitation principal, a expliqué en détail
pourquoi KDP est né, quel est son objectif et quels sont les avantages liés à
cette nouvelle.

KDP a été conçu pour bloquer les attaques
ils visent à compromettre les systèmes Windows en corrompant leur mémoire
contenant des données. La technologie a été conçue pour fonctionner avec HVCI (hypervisor-protected
intégrité du code), la
qui permet à la mémoire contenant du code exécutable d’être en lecture seule
(lecture seulement).
Certains types de logiciels malveillants, par exemple, tentent de manipuler des sections
contenant des données utilisées par les pilotes pour installer un pilote malveillant dans le
ordinateur pour frapper. Ceci n’est cependant qu’un exemple, car KDP peut également
aide lorsqu’un attaquant modifie une section de données du pilote pour
obtenir l’exécution de code indirecte.

“KDP est destiné à protéger les pilotes et les logiciels
fonctionnant dans le noyau Windows (c’est-à-dire le code du système d’exploitation
lui-même) d’attaques basées sur les données “, a écrit les élèves dans le message.”[…]
Par conséquent, aucun logiciel fonctionnant dans le noyau NT (VTL0) ne sera jamais
capable de modifier le contenu de la mémoire protégée “.

“Par exemple, nous avons vu des attaquants utiliser des pilotes
signé mais vulnérable pour attaquer les politiques du module d’intégrité du code
et installez un pilote malveillant non signé. KDP atténue ces attaques
faire en sorte que cette politique ne soit pas compromise. “Le KDP compte sur
une autre fonctionnalité de bas niveau appelée VBS (Virtualization Based
sécurité) pour la protection des données. VBS utilise les compétences de
Virtualisation native Windows 10 pour créer un environnement sécurisé (qui
utilise une sorte de mini machine virtuelle), et garantit le système
principales fonctions de sécurité multiples (HVCI, Hyperguard,
SKCI, Secure Enclaves …).

Microsoft permettra aux développeurs d’interagir
avec KDP via un ensemble d’API. En plus de sécuriser Windows, KDP
pourrait améliorer les performances et avoir des applications partenaires utiles,
par exemple ceux qui créent des logiciels dédiés à la cybersécurité ou anti-triche
pour les jeux vidéo. Un autre bonus est qu’il aide les développeurs à trouver des bogues dans les programmes. “KDP facilite le diagnostic
corruption de mémoire qui ne représente pas nécessairement des vulnérabilités
sécurité “, a souligné Allievi.

KDP est disponible pour les tests dans la dernière version de Windows
Insider. Pour exploiter la technologie, vous avez besoin d’un système qui prend en charge la virtualisation VBS (en 2020, il est pratiquement un “standard”), ainsi qu’un
quelques autres fonctionnalités matérielles comme la traduction de deuxième niveau
adresses et extensions de virtualisation d’Intel, AMD ou ARM.
Ces fonctionnalités sont parmi les différentes activées sur les ordinateurs portables finaux
une partie importante de l’initiative Microsoft Secure-Core PC.

.