Microsoft applique la micro-virtualisation à l’ouverture de documents Office

Les jours des documents Word ou Excel piégés à grand renfort de macros malveillantes sont-ils comptés ? Peut-être bien, du moins pour les utilisateurs de Windows 10 et d’Office 365 ProPlus. L’éditeur vient en effet de lever le voile sur l’application de Windows Defender Application Guard à sa suite bureautique, avec la fonctionnalité dite Safe Documents.

Dans la pratique, l’idée est simple : les documents auxquels on ne fait pas confiance s’ouvrent dans une micro-machine virtuelle, isolés du système d’exploitation. Si l’utilisateur décide de faire confiance au fichier, celui-ci passe par une étape de contrôle via Defender ATP. Si ce dernier estime que le fichier est malicieux, Application Guard en maintient l’isolation.

Ainsi, Microsoft continue d’étendre le recours à la micro-virtualisation pour sécuriser son système d’exploitation client. Début novembre 2018, il avait ainsi annoncé que Windows Defender pourrait être exécuté lui-même dans un bac-à-sable. Et cela afin de l’isoler de processus malicieux susceptibles de chercher à l’atteindre. En septembre 2016, c’est le processus lsass.exe qui profitait de ce même type d’isolation. Il s’agissait de la fonction Credential Guard, basée sur le Virtual Secure Mode présenté un peu plus d’un an avant. Et depuis cette année, c’est le navigateur Edge qui peut profiter d’Application Guard, dont il a été le premier bénéficiaire, mais probablement pas le dernier.

Macro you can pop all the UI you want but you can’t touch my filez. You are in a VM yo pic.twitter.com/RR2FIZR6a2

— Dave dwizzzle Weston (@dwizzzleMSFT) 5 November 2019

Encore une fois, l’approche renvoie directement à celle qui a guidé Simon Crosby, ancien CTO de XenServer, dans la création de Bromium en 2012. Interrogé à l’époque par la rédaction, il décrivait une démarche consistant à isoler chaque processus applicatif dans une machine virtuelle, de manière transparente pour l’utilisateur : « on fait cela avec un hyperviseur léger. Un simple fichier MSI qui installe des ‘‘outils magiques’’ qui retirent aux tâches toute capacité de sortir de la micro-machine virtuelle dont elles sont captives ».

Fin septembre, HP a annoncé le rachat de Bromium, qu’il proposait déjà à ses clients dans le cadre d’un partenariat, et sous le nom de Sure Click. Dans un communiqué de presse, HP expliquait cette opération en indiquant que « la sécurité est un élément différenciateur clé » pour lui. Plus tôt cette année, HP a d’ailleurs noué un partenariat avec Deep Instinct, une jeune pousse qui applique des modèles entraînés par apprentissage profond à la détection de maliciels. Il l’utilise pour sa solution Sure Sense.