Shutterstock

La sécurité des fichiers sandbox d’Office disparaîtra de Windows d’entreprise d’ici fin 2027, confirme Microsoft

Lucas Morel

La détection malveillante Hyper-V de Microsoft Defender Application Guard est abandonnée au profit d’une conception plus rapide basée sur des règles.

Les administrateurs d’entreprise Windows auront jusqu’en décembre 2027 au plus tard pour mettre en place des alternatives à la protection de sécurité offerte par Microsoft Defender Application Guard (MDAG) pour Office, a confirmé l’entreprise.

L’objectif de MDAG est de protéger les clients contre la menace des documents Office piégés envoyés par courrier électronique. La fonctionnalité a été ajoutée à certains niveaux d’abonnement Office à partir de 2019, mais Microsoft a annoncé en novembre 2023 que la fonctionnalité touchait à sa fin, depuis que les clients attendent plus de détails sur comment et quand cela se produirait.

Selon le nouveau calendrier de Microsoft sur son portail client, la suppression commencera avec la version 2602 d’Office pour le canal actuel du Patch Tuesday en février 2026, le canal Entreprise mensuel en avril 2026 et le canal Entreprise semestriel en juillet 2026.

La suppression complète aura lieu pour la version 2612 d’Office d’ici décembre 2026 pour le canal actuel, février 2027 pour le canal entreprise mensuel et juillet 2027 pour le canal entreprise semestriel.

De manière ambiguë, le calendrier indique également décembre 2027 comme date finale de suppression, bien qu’il soit probable que cette date ultérieure soit la date limite définitive pour les clients disposant de licences de support étendu.

Frais généraux d’isolation

Au lieu d’ouvrir les fichiers dans la mémoire principale, MDAG ouvre les fichiers dans un bac à sable Hyper-V, isolant ainsi tout logiciel malveillant exécuté depuis le système d’exploitation. Le concept est solide, mais il présente l’inconvénient de temps de chargement des documents beaucoup plus lents.

Il pourrait également être compromis par des vulnérabilités occasionnelles dans la couche d’isolation, dont un exemple serait CVE-2022-26706, une faille d’échappement du bac à sable affectant macOS.

Microsoft remplace MDAG par deux couches de sécurité qui, selon lui, font le même travail : les règles de réduction de la surface d’attaque (ASR) et le contrôle des applications Windows Defender (WDAC).

ASR est un mécanisme basé sur des règles pour bloquer les scripts, exécutables ou injections de code malveillants. Bien que les performances soient bien améliorées, l’un des inconvénients potentiels est qu’elles reposent sur une analyse comportementale.

Que se passe-t-il si les attaquants utilisent une nouvelle technique non encore adoptée par l’ASR ? Selon Microsoft, c’est rarement le cas, car la plupart des attaques de documents malveillants exploitent des techniques prévisibles. Soutenues par l’apprentissage automatique basé sur le cloud, les chances qu’une attaque innovante dépasse l’ASR sont considérées comme faibles.

Pendant ce temps, l’analyse WDAC, qui s’exécute au niveau du noyau, bloque les applications en surveillant les signatures numériques, les hachages de fichiers et d’autres signaux de réputation.

Charge de travail administrative

Étant donné que le processus de suppression se déroule automatiquement, que reste-t-il aux administrateurs ?

Même si de nombreuses équipes informatiques d’entreprise ne connaissent probablement pas vraiment MDAG, sa suppression pourrait néanmoins entraîner un travail caché. Microsoft, pour sa part, recommande aux administrateurs de procéder comme suit :

  • Activez les règles ASR de Microsoft Defender pour Endpoint pour bloquer les comportements à risque des fichiers Office.
  • Activez le contrôle des applications Windows Defender (WDAC) pour garantir que seul le code approuvé et signé s’exécute sur les appareils.
  • Consultez la documentation interne et les conseils du service d’assistance si votre organisation s’appuyait auparavant sur Application Guard for Office.

Néanmoins, la dépréciation de MDAG pourrait toujours causer des problèmes aux clients qui l’ont intégré à des flux de travail automatisés.

Un exemple générique de ceci serait un script de flux de travail automatisé qui permettra uniquement à un document Office d’être ouvert une fois qu’il aura transité par MDAG. Si MDAG n’est plus présent, ce script devra être réécrit et les procédures modifiées si les journaux des tests de sécurité d’isolement étaient envoyés aux SIEM dans le cadre des règles de conformité.

Bien qu’elle touche principalement les organisations ayant une approche prudente à l’égard des documents Office, telles que les infrastructures critiques ou le gouvernement, cette refonte du script pourrait encore s’avérer fastidieuse.

Ce qui ne fait aucun doute, c’est le stress induit par le roulement régulier de fonctionnalités nouvelles et obsolètes sur une plate-forme Windows qui est progressivement devenue byzantine dans sa complexité.

Depuis 2017, Computerworld publie un guide régulièrement mis à jour sur les composants et fonctionnalités de Windows 10 et 11 au fur et à mesure de leur apparition ou de leur disparition. Pendant ce temps, l’arrivée de Windows 11 a introduit plusieurs changements dans l’architecture de sécurité sous-jacente du système d’exploitation, dont beaucoup sont construits autour de Security Copilot.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Nikkei-Daten sur Slack-Konto eines Mitarbeiters geleakt
Nikkei-Daten sur Slack-Konto eines Mitarbeiters geleakt
Les packages NPM malveillants contiennent un voleur d'informations Vidar
Les packages NPM malveillants contiennent un voleur d’informations Vidar
Cloud strategy questions
Pourquoi les entreprises ne parviennent-elles pas à résoudre le problème de mauvaise configuration du cloud ?