Microsoft: les fonctionnalités de sécurité améliorées retardent les pirates informatiques d’attaquer les utilisateurs Windows

Si une vulnérabilité est exploitée, il est plus que probable qu’elle soit exploitée au format zéro jour ou à un ancien bogue de sécurité pour lequel les utilisateurs et les entreprises ont eu suffisamment de temps pour appliquer des correctifs.
Les améliorations constantes de la sécurité des produits Microsoft commencent enfin à porter leurs fruits, a révélé un ingénieur en sécurité Microsoft la semaine dernière.
Matt Miller, ingénieur en sécurité chez Microsoft, a déclaré lors d’une conférence en Israël sur la sécurité que la vaste exploitation généralisée des failles de sécurité contre les utilisateurs de Microsoft est maintenant peu commune – l’exception à la règle plutôt que la norme.
Miller a attribué aux efforts de la société visant à améliorer ses produits l’ajout de fonctionnalités centrées sur la sécurité, telles que le pare-feu activé par défaut, produits Protected View in Office, DEP (Prévention de l’exécution des données), ASLR (Randomisation du format d’espace), CFG (Control Flow Guard), le sandboxing des applications, etc.
Ces nouvelles fonctionnalités ont beaucoup compliqué la tâche des opérations banales de cybercriminalité de proposer des exploits fiables à zero-day pour les bogues récemment corrigés de Microsoft, réduisant ainsi le nombre de vulnérabilités exploitées à grande échelle.
Une exploitation massive et non discriminatoire finit par se produire, mais généralement longtemps après que Microsoft ait fourni un correctif et après que les entreprises aient eu suffisamment de temps pour tester et déployer les correctifs.
Miller a déclaré que lorsque les vulnérabilités sont exploitées, elles font généralement partie d’attaques ciblées, plutôt que d’attaques d’exploitation massive liées à la cybercriminalité.
Par exemple, en 2018, 90% de tous les zero-day affectant les produits Microsoft étaient exploités dans le cadre d’attaques ciblées. Celles-ci ont été découvertes et utilisées à zero-day par des groupes de cyberespionnage nationaux contre des cibles stratégiques, plutôt que par des vulnérabilités découvertes par des groupes de spam ou des exploitants de kits d’exploitation.
Les 10% restants des tentatives d’exploitation zero-day n’étaient pas des cybercriminels qui essayaient de gagner de l’argent, mais des joueurs jouant avec un code de preuve de concept non basé sur une arme essayant de comprendre en quoi consiste une vulnérabilité qui n’a pas encore été corrigée.
Image: Matt Miller
« Il est maintenant inhabituel de voir un exploit autre que zéro-day publié dans les 30 jours suivant la disponibilité d’un correctif », a également ajouté Miller.
Les exploitations pour les vulnérabilités de zero-day et les autres sont généralement publiées beaucoup plus tard, car il devient de plus en plus délicat de développer des exploits d’armes pour les vulnérabilités en raison de toutes les fonctionnalités de sécurité supplémentaires que Microsoft a ajoutées à Windows et à d’autres produits.
Les graphiques de la présentation de Miller illustrent parfaitement ce nouvel état de choses. Le graphique de gauche montre l’intensification des efforts de Microsoft en matière de correction des failles de sécurité ces dernières années, de plus en plus de bogues de sécurité recevant des correctifs (et un identifiant CVE).
Le graphique de droite montre par ailleurs que, malgré le nombre croissant de failles connues des produits Microsoft, de moins en moins de ces vulnérabilités font leur entrée dans l’arsenal des groupes de piratage et d’exploitation réelle dans les 30 jours suivant un correctif.
Image: Matt Miller
Cela montre que les défenses de sécurité de Microsoft font leur travail en mettant des obstacles supplémentaires sur la voie des groupes de cybercriminalité.
Si une vulnérabilité est exploitée, elle sera probablement exploitée comme zero-day par un acteur menaçant, ou par un ancien bogue de sécurité pour lequel les utilisateurs et les entreprises ont eu le temps de corriger.
Catalin Cimpanu
Traduction : MIRASTNEWS
Source : Zero Day
Votre commentaire