Notre engagement à protéger les clients contre les vulnérabilités dans nos logiciels, services et appareils se traduit par des mises à jour de sécurité et des conseils pour résoudre les vulnérabilités lorsque celles-ci sont signalées à Microsoft. Nous souhaitons également être transparents avec les chercheurs en sécurité et nos clients dans notre approche. Ce document décrit les critères utilisés par le Centre de réponse aux problèmes de sécurité Microsoft pour déterminer si une vulnérabilité signalée affectant les versions de Windows mises à jour et actuellement prises en charge peut être traitée par la maintenance ou dans la prochaine version de Windows. Pour les vulnérabilités dans Windows, la maintenance prend la forme d’une mise à jour de sécurité ou de conseils applicables, le plus souvent publiés le mardi (le deuxième mardi de chaque mois).

Critères de la maintenance de sécurité

Les critères utilisés par Microsoft pour déterminer s’il faut fournir une mise à jour de sécurité ou des conseils pour une vulnérabilité signalée sont basés sur la réponse à 2 questions clés :
    1. La vulnérabilité viole-t-elle l’objectif ou l’intention d’une limite de sécurité ou d’une fonctionnalité de sécurité ?
    2. La gravité de la vulnérabilité répond-elle aux critères de maintenance ?
Si la réponse aux deux questions est oui, l’objectif de Microsoft est de résoudre la vulnérabilité à l’aide d’une mise à jour de sécurité et/ou de conseils qui s’appliquent aux offres affectées et prises en charge, lorsque cela est commercialement raisonnable. Si la réponse à l’une de ces questions est non, par défaut, la vulnérabilité est prise en compte lors de la version suivante de Windows, mais elle n’est pas traitée par une mise à jour ou une aide à la sécurité, bien que des exceptions puissent être faites.

Ce document traite des vulnérabilités les plus couramment signalées, mais comme la sécurité est un paysage en constante évolution, il peut y avoir des vulnérabilités non couvertes par ces critères ou les critères peuvent être adaptés suite aux modifications apportées au paysage des menaces. Microsoft répond aux vulnérabilités en fonction du risque qu’elles posent aux clients et peut, à tout moment, choisir de répondre ou non aux rapports en fonction du risque évalué.

Limites et fonctionnalités de sécurité que Microsoft envisage de traiter par une maintenance

Afin d’atteindre nos objectifs de sécurité, les logiciels, services et appareils de Microsoft s’appuient sur un certain nombre de limites de sécurité et de fonctionnalités de sécurité, ainsi que sur la sécurité du matériel sous-jacent dont nos logiciels dépendent.
Limites de sécurité
Une limite de sécurité fournit une séparation logique entre le code et les données des domaines de sécurité avec différents niveaux de confiance. Par exemple, la séparation entre le mode noyau et le mode utilisateur est une limite de sécurité classique et directe. Les logiciels Microsoft dépendent de plusieurs limites de sécurité pour isoler les appareils sur le réseau, les machines virtuelles et les applications sur un appareil. Le tableau suivant récapitule les limites de sécurité définies par Microsoft pour Windows.

Limite de sécurité

Objectif de sécurité

Maintenance prévue ?

Prime ?

Limite de réseau

Un point de terminaison réseau non autorisé ne peut pas accéder au code ni aux données sur l’appareil d’un client ni les falsifier. Oui

Oui

Limite de noyau

Un processus en mode utilisateur non administratif ne peut pas accéder au code et aux données du noyau ni les altérer. L’administrateur du noyau n’est pas une limite de sécurité. Oui

Oui

Limite de processus

Un processus utilisateur non autorisé ne peut pas accéder au code et aux données d’un autre processus ni les altérer. Oui

Oui

Limite de bac à sable AppContainer

Un processus de bac à sable basé sur AppContainer ne peut pas accéder au code et aux données ni les falsifier en dehors du bac à sable en fonction des capacités du conteneur Oui

Oui

Limite d’utilisateur

Un utilisateur ne peut pas accéder au code et aux données d’un autre utilisateur ni les altérer, sans y être autorisé. Oui

Oui

Limite de session

Une session d’ouverture de session utilisateur ne peut pas utiliser ou altérer une autre session utilisateur sans y être autorisée. Oui

Oui

Limite de navigateur web

Un site web non autorisé ne peut pas violer la stratégie de même origine, ni utiliser ou falsifier le code natif et les données du bac à sable du navigateur web Microsoft Edge. Oui

Oui

Limite de machine virtuelle

Une machine virtuelle invitée Hyper-V non autorisée ne peut pas utiliser ni altérer le code et les données d’une autre machine virtuelle invitée. Cela inclut les conteneurs isolés Hyper-V.

Oui

Oui

Limite du mode sécurisé virtuel

Les données et le code au sein d’un trustlet ou d’une enclave VSM ne sont ni accessibles ni falsifiables par du code qui s’exécute en dehors de l’enclave ou du trustlet VSM. Oui

Oui

Absence de limites*

Certains composants et configurations Windows ne sont pas conçus de manière explicite pour fournir une limite de sécurité fiable. Ces composants sont récapitulés dans le tableau ci-dessous.

*Remarque : La liste suivante n’est pas exhaustive et présente deux composants qui sont généralement considérés par erreur comme des limites. Par défaut, les composants ne sont pas considérés comme des limites, sauf s’ils sont explicitement nommés comme tels.

Composant

Explication

Conteneurs Windows Server

Les conteneurs Windows Server fournissent un isolement des ressources à l’aide d’un noyau partagé, mais ils ne sont pas destinés à être utilisés dans des scénarios d’architecture mutualisée hostile. Les scénarios qui impliquent une architecture mutualisée malveillante doivent utiliser des conteneurs isolés Hyper-V pour isoler fortement les locataires.

Administrateur du noyau

Les processus et les utilisateurs administratifs sont considérés comme faisant partie de la base TCB (Trusted Computing base) pour Windows et ne sont donc pas fortement isolés de la limite du noyau. Les administrateurs contrôlent la sécurité d’un appareil et peuvent désactiver les fonctionnalités de sécurité, désinstaller les mises à jour de sécurité et effectuer d’autres actions qui rendent l’isolation du noyau inefficace.

Fonctionnalités de sécurité

Les fonctionnalités de sécurité s’appuient sur les limites de sécurité pour fournir une protection robuste contre des menaces spécifiques. Dans certains cas, l’objectif d’une fonctionnalité de sécurité est de fournir une protection robuste contre une menace et il est prévu qu’il n’y ait aucune limitation de conception qui empêche la fonctionnalité de sécurité d’atteindre cet objectif. Pour les fonctionnalités de sécurité de cette catégorie, Microsoft a l’intention de traiter les vulnérabilités signalées via une maintenance, comme indiqué dans le tableau suivant.

Catégorie

Fonctionnalités de sécurité

Objectif de sécurité

Maintenance prévue ?

Prime ?

Sécurité des appareils

BitLocker Les données chiffrées sur le disque ne peuvent pas être obtenues lorsque l’appareil est éteint. Oui

Oui

Sécurité des appareils

Démarrage sécurisé Seul le code autorisé peut s’exécuter dans le pré-système d’exploitation, notamment les chargeurs de système d’exploitation, comme défini par la stratégie de microprogramme UEFI. Oui

Oui

Sécurité de la plateforme

Windows Defender System Guard (WDSG) Les fichiers binaires incorrectement signés ne peuvent pas s’exécuter ni être chargés conformément à la stratégie de contrôle d’application pour le système. Les contournements tirant parti des applications qui sont autorisés par la stratégie ne sont pas concernés. Oui

Oui

Sécurité des applications

Windows Defender Application Control (WDAC) Seul le code exécutable, notamment les scripts exécutés par des hôtes de script Windows compatibles, qui est conforme à la stratégie de l’appareil peut s’exécuter. Les contournements tirant parti des applications qui sont autorisés par la stratégie ne sont pas concernés. Les contournements qui requièrent des droits d’administration ne sont pas inclus dans l’étendue. Oui

Oui

Contrôle des accès et des identités

Windows Hello/Biométrie Un attaquant ne peut pas se servir de l’usurpation, du phishing ou d’une violation des informations d’identification de nouvelle génération pour usurper l’identité d’un utilisateur. Oui

Oui

Contrôle des accès et des identités

Contrôle d’accès des ressources Windows Une identité (utilisateur, groupe) ne peut pas utiliser ni altérer une ressource (fichier, canal nommé, etc.) sauf autorisation explicite Oui

Oui

API de chiffrement : nouvelle génération (CNG)

Chiffrement de la plateforme Les algorithmes sont implémentés dans une spécification (par exemple NIST) et ne présentent pas de fuites de données sensibles. Oui

Oui

Attestation d’intégrité

Host Guardian Service (HGS) Évaluer l’identité et l’intégrité d’un appelant émettant ou prélevant des revendications d’intégrité nécessaires pour les opérations de chiffrement en aval. Oui

Oui

Protocoles d'authentification

Protocoles d'authentification Les protocoles sont implémentés dans la spécification et un attaquant ne peut pas altérer, révéler des données sensibles ni emprunter l’identité des utilisateurs en obtenant des privilèges élevés. Oui

Oui

Fonctionnalités de sécurité de défense en profondeur

Dans certains cas, une fonctionnalité de sécurité peut fournir une protection contre une menace sans être en mesure de fournir une défense fiable. Ces fonctionnalités de sécurité sont généralement appelées fonctionnalités de défense en profondeur ou atténuations des risques, car elles fournissent une sécurité supplémentaire, mais peuvent avoir des limitations de conception qui les empêchent d’atténuer entièrement une menace. Le contournement d’une fonctionnalité de sécurité de défense en profondeur ne pose pas de problème direct, car une personne malveillante doit également avoir trouvé une vulnérabilité qui affecte une limite de sécurité, ou elle doit s’appuyer sur des techniques supplémentaires, telles que l’ingénierie sociale, pour obtenir l’étape initiale permettant de compromettre un appareil.
 
Le tableau suivant récapitule les fonctionnalités de sécurité de défense en profondeur définies par Microsoft qui ne sont pas associées à un plan de maintenance. Par défaut, les vulnérabilités ou contournements affectant ces fonctionnalités de sécurité ne font pas l’objet d’une maintenance, mais elles peuvent être corrigées dans une version ultérieure. La plupart de ces fonctionnalités sont continuellement améliorées dans chaque version de produit et sont également couvertes par des programmes de primes de bogues actifs.
 
Dans certains cas, les fonctionnalités de sécurité de défense en profondeur peuvent accepter une dépendance qui n’est pas conforme aux critères de maintenance par défaut. Par conséquent, ces fonctionnalités de sécurité de défense en profondeur ne sont pas non plus conformes aux critères de la maintenance par défaut. Il peut s’agir par exemple de machines virtuelles protégées qui acceptent une dépendance sur un administrateur qui n’est pas en mesure de compromettre le noyau ou un processus Worker de machine virtuelle qui est protégé par la technologie PPL (Protected Process Light). Dans ce cas, l’administrateur du noyau et la technologie PLL ne sont pas inclus par défaut dans la maintenance.

Catégorie

Fonctionnalité de sécurité

Objectif de sécurité

Maintenance prévue ?

Prime ?

Sécurité des utilisateurs

Contrôle de compte d’utilisateur (UAC) Empêcher les modifications indésirables à l’échelle du système (fichiers, registre, etc.) sans consentement de l’administrateur Non Non

Sécurité des utilisateurs

AppLocker Empêcher l’exécution d’applications non autorisées Non Non

Sécurité des utilisateurs

Accès contrôlé aux dossiers Protéger l’accès et les modifications aux dossiers contrôlés à partir d’applications qui peuvent être malveillantes Non Non

Sécurité des utilisateurs

Mark of the Web (MOTW) Empêcher le téléchargement de contenu actif sur le web à partir d’une élévation de privilèges lors d’un affichage en local Non Non

Atténuation des attaques

Prévention de l’exécution des données Un attaquant ne peut pas exécuter le code à partir d’une mémoire non exécutable telle que des segments de mémoire et des piles Non

Oui

Atténuation des attaques

Distribution aléatoire de l’espace d’adressage La distribution de l’espace d’adressage virtuel de processus n’est pas prédictible pour un attaquant (sur un système 64 bits) Non

Oui

Atténuation des attaques

Distribution aléatoire de l’espace d’adressage du noyau La distribution de l’espace d’adressage virtuel du noyau n’est pas prédictible pour une personne malveillante (sur un système 64 bits) Non Non

Atténuation des attaques

Arbitrary Code Guard (ACG) Un processus ACG ne peut pas modifier des pages de codes ni allouer de nouvelles pages de codes privées Non

Oui

Atténuation des attaques

Code Integrity Guard (CIG) Un processus CIG ne peut pas charger directement une image exécutable incorrectement signée (DLL) Non

Oui

Atténuation des attaques

Control Flow Guard (CFG) Le code protégé par CFG peut uniquement effectuer des appels indirects vers des cibles d’appel indirect valides Non Non

Atténuation des attaques

Restriction de processus enfant Impossible de créer un processus enfant lorsque cette restriction est activée Non

Oui

Atténuation des attaques

SafeSEH/SEHOP L’intégrité de la chaîne du gestionnaire d’exceptions ne peut pas être subvertie Non

Oui

Atténuation des attaques

Randomisation des segments de mémoire et protection des métadonnées L’intégrité des métadonnées du segment de mémoire ne peut pas être subvertie et la disposition des allocations de segment de mémoire n’est pas prédictible pour un attaquant Non

Oui

Atténuation des attaques

Windows Defender Exploit Guard (WDEG) Autoriser les applications à activer des fonctionnalités d’atténuation d’exploit de défense en profondeur supplémentaires qui compliquent l’exploitation des vulnérabilités Non Non

Verrouillage de la plateforme

Protected Process Light (PPL) Empêcher les processus non-PPL et non administratifs d’utiliser ou de falsifier le code et les données dans un processus PPL via des fonctions de processus ouvertes Non Non

Verrouillage de la plateforme

Machines virtuelles protégées Protéger les secrets d’une machine virtuelle et ses données contre les administrateurs d’infrastructure malveillants et les logiciels malveillants s’exécutant sur l’hôte à partir des attaques de runtime et hors connexion Non Non