Pourquoi Microsoft exécute Windows Defender dans un bac à sable

Windows Defender devient le premier antivirus à s'exécuter dans un bac à sable sécurisé. La prise en charge du mode «sandbox» pour certaines fonctions a été déployée automatiquement pour les participants du programme Windows Insiders. Faire tourner dans un sandbox l’antivirus intégré par défaut à Windows garantit que, dans le cas où l’antivirus lui-même serait compromis par une attaque, les actions malveillantes restent limitées à un environnement confiné (bac à sable), protégeant ainsi le reste du système.

Microsoft explique que les antivirus devant inspecter l'ensemble du système à la recherche de contenus malveillants, ces logiciels s'exécutent avec des privilèges d'accès élevés. Une particularité qui fait des antivirus des cibles de choix pour les cybercriminels. Des chercheurs en sécurité ont déjà identifié comment un attaquant pourrait tirer profit des vulnérabilités des analyseurs de contenu de Windows Defender dans le but de permettre une exécution arbitraire du code, précise la firme de Redmond.

Un billet de blog de Microsoft explique en détails en quoi déployer des capacités de sandboxing dans Windows Defender n’a pas été une mince affaire. Il a par exemple été nécessaire de superposer les composants devant absolument fonctionner avec des privilèges complets et les composants pouvant être sandboxés, en s’assurant que ces derniers englobent les fonctionnalités les plus risquées. En parallèle, les équipes de Windows Defender ont dû minimiser le nombre d'interactions entre les deux couches afin d'éviter que le sandboxing ne vienne impacter la performance globale de l’antivirus.

A noter que la fonctionnalité est aussi accessible aux non participants du programme Windows Insider. Les utilisateurs familiarisés avec les invites de commandes peuvent ainsi, sur Windows 10 version 1703 ou ultérieure, forcer l’activation du sandboxing dans Windows Defender en tapant «setx /M MP_FORCE_USE_SANDBOX 1» dans Powershell.