Ερευνητές της εταιρείας ασφαλείας Trail of Bits (R&D) κατάφεραν να κάνουν sandboxed το Windows Defender, την προεπιλεγμένη λύση αντιμετώπισης ιών που συνοδεύει τις πρόσφατες εκδόσεις των Windows.
Το sandboxing είναι ένας τεχνικός όρος που περιγράφει την πράξη εκτέλεσης μιας εφαρμογής μέσα σε ένα ειδικό πλαίσιο. Αυτό το πλαίσιο εμποδίζει έναν εισβολέα να κάνει exploit στην εφαρμογή για να φτάσει στο υποκείμενο λειτουργικό σύστημα.
Οι τρέχουσες εκδόσεις του Windows Defender δεν είναι sandboxed
Είναι απίστευτο, αλλά όπως φαίνεται, το Windows Defender, ένα κρίσιμο μέρος του λειτουργικού συστήματος των Windows, δεν λειτουργεί από προεπιλογή σε περιβάλλον sandbox, παρόλο που το προϊόν – με διάφορες μορφές και ονόματα – αποτελεί τμήμα του χαρτοφυλακίου των εφαρμογών του Windows για τουλάχιστον 13 χρόνια.
Η ομάδα Trail of Bits έχει δημιουργήσει ένα πλαίσιο με Rust, το οποίο τρέχει εφαρμογές των Windows μέσα στα δικά τους AppContainers. Οι ερευνητές κυκλοφόρησαν αυτό το πλαίσιο με το όνομα AppJailLauncher στο GitHub.
“…σας επιτρέπει να τυλίγετε το I/O μιας εφαρμογής πίσω από ένα διακομιστή TCP, επιτρέποντας στην sandboxed εφαρμογή να τρέχει σε ένα εντελώς διαφορετικό μηχάνημα, με ένα επιπρόσθετο στρώμα απομόνωσης”, ανέφερε η ομάδα Trail of Bits για το AppJailLauncher.
Αυτή η έκδοση του sandbox είναι για εκδόσεις 32 bit των Windows και το βασικό συστατικό του Windows Defender – το Malware Protection Engine (MsMpEng).
Τους τελευταίους μήνες, οι μηχανικοί της Google της ομάδας ασφάλειας του Project Zero έδειξαν πόσο ευάλωτη είναι αυτή η συνιστώσα, ανακαλύπτοντας πολλά σφάλματα που θα μπορούσαν να αξιοποιηθούν για να αποκτήσουν πλήρη έλεγχο των ευάλωτων μηχανημάτων.
Ορισμένα από αυτά τα σφάλματα ήταν τόσο επικίνδυνα ώστε ένα απλό μήνυμα ηλεκτρονικού ταχυδρομείου ή ένα κακόβουλο αρχείο JavaScript ήταν αρκετό για να υπονομεύσει τα συστήματα των Windows.
Η Microsoft από την άλλη έχει επικεντρωθεί τα τελευταία χρόνια στη βελτίωση της ασφάλειας των Windows. Σε σύγκριση με προηγούμενες εκδόσεις λειτουργικών συστημάτων, το Windows 10 είναι εξαιρετικά καλά προστατευμένο.
Οι μηχανικοί της Microsoft έχουν τοποθετήσει ήδη sandbox σε ορισμένες εφαρμογές των Windows. Για παράδειγμα, το JIT code compiler στο Microsoft Edge τρέχει σε sandbox. Εφαρμογές όπως το Device Guard εντοπίζουν και αποτρέπουν την εκμετάλλευση κοινών τρωτών σημείων, διατηρώντας τα συστήματα των Windows ασφαλή.
Όπως επεσήμαναν πολλοί ειδικοί που σχολίασαν το πείραμα της Trail of Bits, [1, 2], ένας λόγος για τον οποίο η Microsoft επέλεξε να μην χρησιμοποιήσει sandbox στο Windows Defender μπορεί να σχετίζεται με τη δυνητική απόδοση της εφαρμογής.
Το πείραμα της Trail of Bits είναι απλώς μια απόδειξη του ότι το Windows Defender μπορεί να είναι sandboxed αλλά δεν επικεντρώθηκε σε μετρήσεις που σχετίζονται στην απόδοση.
Οι τεχνικές λεπτομέρειες περιγράφονται λεπτομερώς εδώ.
 κατάφεραν να κάνουν sandboxed το Windows Defender, την προεπιλεγμένη λύση){kind=link}