Dans un désordre déroutant, une récente mise à jour de Microsoft Defender a déployé une nouvelle fonctionnalité de sécurité appelée  » Protection de la pile renforcée par le matériel en mode noyau « , tout en supprimant la fonctionnalité de protection LSA. Malheureusement, Microsoft n’a fourni aucune documentation sur ce changement, ce qui soulève plus de questions que de réponses.

La protection de l’autorité de sécurité locale, également appelée protection LSA, est une fonctionnalité de sécurité qui protège les informations sensibles, telles que les informations d’identification, contre le vol en bloquant l’injection de code non approuvé dans le processus LSASS et le vidage de la mémoire du processus LSASS.

Les utilisateurs Windows peuvent activer la protection LSA dans la page des paramètres Sécurité Windows > Sécurité des périphériques > Isolation du cœur pour les processeurs prenant en charge la virtualisation.

Cependant, au cours des dernières semaines, les utilisateurs de Windows 11 se sont plaints de ne pas pouvoir activer la fonction de sécurité Local Security Authority Protection dans les paramètres Windows Security ‘Core Isolation’.

Lorsque vous tentez de le faire, Windows invite les utilisateurs à redémarrer l’ordinateur pour activer la fonctionnalité, mais au redémarrage, elle ne serait pas activée et Windows afficherait à nouveau une invite de redémarrage.

Microsoft a déclaré plus tard que si vous aviez activé la protection LSA et redémarré votre appareil au moins une fois, vous pouviez ignorer ces avertissements.

Une solution de contournement a également été fournie pour vérifier si la protection LSA est activée et comment configurer deux clés de registre pour désactiver l’avertissement.

La mise à jour de Microsoft Defender crée la confusion
Une récente mise à jour de Microsoft Defender a rendu cette fonctionnalité encore plus déroutante, car après son installation, la fonctionnalité de protection LSA est supprimée et remplacée par une nouvelle fonctionnalité appelée protection de pile renforcée par le matériel en mode noyau.

La protection de la pile renforcée par le matériel en mode noyau est une fonctionnalité de sécurité qui tente d’empêcher les attaques de flux de contrôle basées sur ROP (Return Oriented Programming) qui pourraient conduire à l’exécution de code.

« Pour le code exécuté en mode noyau, le processeur confirme les adresses de retour demandées avec une deuxième copie de l’adresse stockée dans la pile fantôme pour empêcher les attaquants de substituer une adresse qui exécute du code malveillant à la place », explique le Windows Kernel-mode Hardware-enforced Stack. Paramètre de protection.

« Notez que tous les pilotes ne sont pas compatibles avec cette fonctionnalité de sécurité. »

Cependant, pour utiliser cette fonctionnalité, un appareil Windows doit utiliser des processeurs Intel Tiger Lake ou des processeurs AMD Zen3 et versions ultérieures. Par conséquent, Windows n’affichera ce nouveau paramètre que si l’appareil dispose du matériel requis.

Comme l’intégrité de la mémoire, lors de l’activation de la protection de la pile renforcée par le matériel en mode noyau, Windows s’assurera qu’aucun pilote incompatible n’est chargé dans Windows. S’il y en a, la fonction Stack Protection ne s’activera pas et Windows affichera une liste des pilotes incompatibles.

Les utilisateurs de Windows 11 signalent maintenant avoir vu des notifications de sécurité Windows indiquant que la nouvelle fonctionnalité est désactivée en raison de pilotes en conflit.

« La protection de la pile appliquée par le matériel en mode noyau est désactivée. Votre appareil peut être vulnérable », lit un avertissement dans le Centre de sécurité Windows.

Cependant, lorsqu’ils examinent la liste, celle-ci est vide, ce qui complique l’activation de la fonctionnalité.

Pire encore, certains pilotes anti-triche de jeu en conflit ne sont pas détectés comme incompatibles, et la protection de pile renforcée par le matériel en mode noyau est toujours activée. Ces pilotes en conflit provoquent le blocage de Windows ou l’arrêt des jeux lorsque la fonction de sécurité est activée et qu’un jeu est lancé.

Les utilisateurs de Windows 11 ont signalé ces problèmes pour PUBG, Valorant (Riot Vanguard), Bloodhunt, Destiny 2, Genshin Impact, Phantasy Star Online 2 (Game Guard) et Dayz.

Qu’est-il arrivé à la protection LSA ?
Encore plus frustrant, les utilisateurs de Windows 11 ne peuvent plus activer la protection LSA, qui ne nécessitait pas de processeurs plus récents, à partir des paramètres de sécurité Windows.

Il n’est même pas clair si la protection LSA est intégrée à la protection de la pile renforcée par le matériel en mode noyau ou a été entièrement supprimée de l’interface des paramètres Windows, ce qui oblige les utilisateurs à l’activer manuellement via le registre.

En outre, il n’y a eu aucun avis de Microsoft concernant l’échange de ces fonctionnalités de sécurité ou l’ajout de la protection de pile renforcée par le matériel en mode noyau autre que la brève description trouvée dans Windows Security et la documentation dispersée [1, 2, 3] sur le Fonction de protection de la pile.

Breachtrace a interrogé Microsoft sur la nouvelle fonctionnalité Stack Protection si la protection LSA y est désormais intégrée, et sur les conflits rencontrés par les utilisateurs.

Cet article sera mis à jour avec toutes les réponses que nous recevrons.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *