Эксперты изолировали Windows Defender в «песочнице»

Microsoft подвергла своих пользователей немалому риску, выпустив антивирус Windows Defender вне «песочницы». Данное решение весьма удивительно, поскольку «песочница» - одна их самых эффективных техник усиления безопасности. Это упущение исправили специалисты компании Trail of Bits, которые опубликовали на GitHub PoC-код проекта Flying Sandbox Monster, представляющего собой помещенную в «песочницу» версию Windows Defender.

Flying Sandbox Monster основан на AppJailLauncher - написанном на Rust фреймворке для помещения ненадежных приложений в AppContainers. Фреймворк также позволяет вынести I/O приложения за TCP-сервер, позволяя приложению работать на другой машине. Это дополнительный уровень изоляции. PoC-код AppJailLauncher также опубликован на GitHub.

Проект Flying Sandbox Monster совместим только с 32-разрядными версиями Windows.

За последние несколько месяцев инженеры команды Google Project Zero выявили ряд уязвимостей в одном из ключевых компонентов Windows Defender - движке MsMpEng. Проэксплуатировав данные проблемы, атакующий мог выполнить код и получить контроль над уязвимыми устройствами.

Windows Defender - программный продукт компании Microsoft, созданный для того, чтобы удалять, помещать в карантин или предотвращать появление вредоносных модулей в операционных системах Microsoft Windows. Windows Defender по умолчанию встроен в операционные системы Windows XP, Windows Server 2003, Windows Vista, Windows 7, Windows 8 и Windows 10.

«Песочница» - специально выделенная среда для безопасного исполнения компьютерных программ.

Источник