Dans une prochaine version du système d’exploitation
Microsoft a annoncé son intention de supprimer la prise en charge de Visual Basic Script (VBScript) dans son système d’exploitation Windows. La société a introduit VBScript, qui s’inspire de Visual Basic, en 1996. Les développeurs web étaient alors la cible initiale de ce langage de script, mais il a rapidement gagné en popularité auprès des administrateurs Windows qui ont utilisé VBScript pour automatiser différentes tâches sur Windows. Les développeurs de logiciels malveillants ont alors commencé à utiliser le langage de script dans leurs attaques, par exemple pour infecter les systèmes avec le tristement célèbre ver “I Love You”.
Microsoft a intégré VBScript dans Internet Explorer (IE), son premier grand navigateur web, mais celui-ci n’étant plus pris en charge dans la plupart des versions de Windows, Microsoft a décidé de désactiver VBScript dans IE depuis quelque temps déjà. VBScript a même été mis de côté dans le framework .NET de Microsoft et n’a été pris en charge que par des corrections de bogues et de sécurité pendant une longue période.
L’annonce des fonctionnalités dépréciées de Windows publiée sur le site web de Microsoft fournit les informations suivantes : “VBScript est obsolète. Dans les prochaines versions de Windows, VBScript sera disponible en tant que fonctionnalité à la demande avant d’être retiré du système d’exploitation.“
Microsoft n’a pas indiqué de calendrier précis pour l’instant, mais VBScript deviendra une fonctionnalité optionnelle de Windows dans les “prochaines versions” et continuera d’être activé par défaut au début. Microsoft finira par faire de VBScript un composant optionnel qui ne sera plus activé par défaut avant de supprimer entièrement la fonctionnalité de Windows.
Les administrateurs de Windows pourront dresser la liste des fonctionnalités optionnelles dans l’application Paramètres. Pour y accéder, il suffit d’ouvrir le menu Démarrer, de taper fonctionnalités optionnelles et de sélectionner l’élément “Gérer les fonctionnalités optionnelles”. Windows dressera alors la liste de toutes les fonctionnalités optionnelles installées sur la page. Le bouton “Ajouter une fonctionnalité” affiche quant à lui toutes les fonctionnalités disponibles qui ne sont pas encore installées.
Désactiver VBScript permettra d’éliminer le vecteur d’attaque
Microsoft n’a donné aucune raison officielle pour désactiver VBScript, mais il est clair que la dépréciation de VBScript améliorera la sécurité, car les attaquants ne pourront plus utiliser les scripts .vbs dans leurs attaques. Bien qu’il existe d’autres alternatives, il est toujours préférable d’éliminer un vecteur d’attaque que de ne rien faire du tout.
Bleeping Computer, qui a découvert l’information, pense également que Microsoft a fait cela principalement pour améliorer la sécurité. En effet, VBScript est toujours utilisé dans les attaques de malwares jusqu’à aujourd’hui.
Une fois que VBScript est ajouté aux fonctions optionnelles, les utilisateurs de Windows auront la possibilité de désactiver la fonction dans l’application Paramètres. Une option permettant de désactiver le Windows Scripting Host pour bloquer les logiciels malveillants .vbs est également déjà disponible.
source : developpez
