Alors que les attaques par redirection de fichiers système deviennent de plus en plus sophistiquées, Windows 11 riposte avec une arme discrète mais redoutable : RedirectionGuard. Cette fonctionnalité méconnue bloque un vecteur d’attaque historique qui exploitait les failles des liens NTFS pour escalader les privilèges ou saboter des systèmes. Derrière cette innovation se cache une bataille silencieuse entre les équipes de sécurité de Microsoft et les cybercriminels qui manipulent les chemins d’accès depuis des décennies.
Le piège des junctions NTFS : une faille vieille comme Windows
Officiellement, les junctions NTFS sont des fonctionnalités légitimes. En réalité, elles constituent l’une des portes dérobées les plus exploitées. Imaginez un service système avec des droits élevés qui nettoie régulièrement le dossier C:Temp. Un attaquant malin remplace ce dossier par une junction pointant vers C:WindowsSystem32. Résultat : le service supprime des fichiers critiques sans le savoir.
| Type de lien | Cible | Risque sécurité |
|---|---|---|
| Junction | Dossiers uniquement | Élevé (RedirectionGuard cible ce risque) |
| Symlink | Fichiers/dossiers | Modéré |
| Hard link | Fichiers uniquement | Faible |
Comment RedirectionGuard réécrit les règles du jeu
La magie de RedirectionGuard réside dans sa simplicité : chaque junction créée stocke désormais les droits de son créateur dans un flux NTFS caché. Lorsqu’un processus protégé tente d’y accéder, le système compare silencieusement les privilèges. Un compte standard qui tente de piéger un service SYSTEM ? Blocage immédiat.
- User Profile Service : déjà protégé contre les migrations de profil frauduleuses
- AppX Deployment : empêche les redirections lors de l’installation d’applications
- Windows Installer : verrouille les chemins d’installation critiques
Activer RedirectionGuard : la méthode non documentée
Microsoft ne le clame pas haut et fort, mais RedirectionGuard peut être étendu bien au-delà des services système. La commande PowerShell suivante révèle quels processus l’utilisent déjà :
Get-ProcessMitigation -Name * | Where-Object {$_.RedirectionGuard -eq "ON"}Pour l’activer sur une application maison, les développeurs peuvent utiliser l’API SetProcessMitigationPolicy. Les admins, eux, disposent d’une option plus radicale via Windows Defender Exploit Guard :
| Méthode | Niveau | Persistance |
|---|---|---|
| API SetProcessMitigationPolicy | Par processus | Non (à coder dans l’appli) |
| Exploit Guard | Système | Oui (via GPO) |
| Module NtObjectManager | Inspection | Non |
Quand contourner RedirectionGuard devient nécessaire
Certains scénarios légitimes nécessitent de désactiver temporairement la protection. Par exemple lors de migrations complexes où les junctions sont indispensables. La solution ? Utiliser mklink avec des droits administrateur complets, ou forcer la création via SYSTEM avec PsExec.
- Migration de données : créer les junctions avant d’activer RedirectionGuard
- Applications legacy : utiliser des hard links à la place quand possible
- Dépannage : désactiver temporairement via Exploit Guard
Cette bataille entre sécurité et compatibilité illustre parfaitement l’évolution de Windows 11 : un système qui apprend enfin à se méfier de ses propres fonctionnalités. Avec RedirectionGuard, Microsoft ferme une porte dérobée qui restait grande ouverte depuis l’ère NTFS tout en préservant l’écosystème existant. Malin.
Source: www.ilsoftware.it
- Windows 11 se prépare à dominer le monde du gaming : des performances boostées à l’horizon 2026 - décembre 15, 2025
- Personnalité de l’année 2025 selon Time : un monde sans Microsoft - décembre 15, 2025
- Patch Tuesday de décembre 2025 : découvrez toutes les nouveautés pour Windows 11 - décembre 14, 2025
