Microsoft lance son programme de bug bounty pour Windows

Microsoft vient de lancer son programme de rétribution des hackers découvrant des failles de sécurité dans plusieurs de ses produits. Dans un billet de blog, l’éditeur rappelle les nombreux mécanismes de protection désormais intégrés à Windows, entre prévention d’exécution de données (DEP), randomisation de l’allocation de la mémoire (ASLR), Device Guard, Credential Guard ou encore Windows Defender Application Guard.

Alors ce n’est probablement pas un hasard si c’est Hyper-V, sur Windows 10 et Windows Server 2012/2012R2/2016, qui pourra faire l’objet des plus fortes récompenses, jusqu’à 250 000 $, pour différents types de vulnérabilités : exécution de code à distance, déni de service ou encore fuite de données. Car l’hyperviseur de Microsoft joue un rôle clé dans la sécurisation de Windows.

C’est lui qui est à l’œuvre pour Credential Guard, un mécanisme basé sur Virtual Secure Mode (VSM), pour mettre en place « un conteneur Hyper-V qui isole le processus lsass.exe du reste de l’environnement Windows 10, réduisant le risque de vol d’identifiants sur l’ordinateur en utilisant des outils tels que mimikatz », comme l’expliquait Johan Arwidmark, en juillet 2015. Pour fonctionner, VSM requiert Secure Boot et TPM, ainsi que les composants Hyper-V.

Mais en septembre dernier, à l’occasion de sa conférence Ignite, Microsoft a présenté Windows Defender Application Guard, un dispositif de protection pour Edge, le navigateur Web de Windows 10. Celui-ci étend le recours à la micro-virtualisation pour sécuriser le poste de travail, cette fois-ci en empruntant la même direction que celle retenue plus tôt par Bromium : il ne s’agit plus seulement de fortifier un processus connu comme sûr, mais d’isoler un processus auquel il n’est pas question de faire confiance.

En fait, l’éditeur de Redmond poursuit une stratégie évoquée dès avril 2015 avec la présentation de conteneurs Hyper-V ciblant la sécurité des applications en proposant des capacités d’isolement avancées.

Windows Defender Application Guard (WDAG) n’est pas oublié du programme de bug bounty de Microsoft. Mais l’éditeur lui consacre un programme distinct de celui qui concerne Hyper-V avec, au passage, jusqu’à 30 000 $ pour une vulnérabilité assorti d’un exploit opérationnel permettant une sortie du conteneur Hyper-V.

D’autres mécanismes de protection de Windows 10 sont également concernés, avec notamment les vulnérabilités qui permettraient le contournement de l’ASLR, de DEP, ou celui des protections contre l’exécution de code arbitraire et celui de vérification de l’intégrité du code, notamment.

L’an passé, c’est Apple qui avait créé la surprise à la conférence Black Hat en annonçant son propre programme de bug bounty, proposant jusqu’à 200 000 $ pour les vulnérabilités affectant le firmware de démarrage de ses produits, ou encore 100 000 $ pour celles permettant l’extraction de données protégées par le processeur d’enclave sécurisée.