Поделиться
Штатный антивирус Windows сделали полностью безопасным впервые за 11 лет
Сторонние разработчики создали концептуальный фреймворк для запуска предустановленного в ОС Windows антивируса из безопасной среды. Как выяснилось, с середины 2000-х никто так и не обеспечил Windows Defender «песочницой», несмотря на неоднократно находившиеся в нем уязвимости.
Защита защитника
Эксперты компании Trail of Bits, не имеющей прямого отношения к Microsoft, обезопасили штатный антивирус Windows — Defender, создав для него так называемую специализированную «песочницу» (sandbox). Причиной такого шага стал тот факт, что защитная программа, по умолчанию поставляемая вместе с Windows, как оказалось, функционирует без изолирующей среды.
Разработчики Trail of Bits выпустили собственный фреймворк с открытым кодом AppJailLauncher, позволяющий запускать Windows-приложения внутри AppContainers — собственной «песочницы» Microsoft. Исходный код, написанный на языке Rust, доступен на GitHub.
В описании говорится, что фреймворк позволяет вынести I/O-приложения за TCP-сервер, чтобы приложение в «песочнице» работало на совершенно другой машине. Это обеспечивает дополнительный уровень изоляции.
Кроме этого, под наименованием Flying Sandbox Monster на GitHub выложен исходный код клиента, позволяющего запускать из-под изолированной среды основной компонент Windows Defender — антивирусный движок (MsMpEng).
Принцип работы
«Песочница» представляет собой специальную среду для безопасного выполнения программ с жестко ограниченным набором доступных ресурсов — фактически, отдельную виртуальную машину. Доступ к сети, возможность сообщаться с главной операционной системой или считывать информацию с устройств ввода обычно либо частично эмулируют, либо сильно ограничивают.
Песочница применяется для защиты, например, браузера Chrome или JavaVM от попыток вредоносной эксплуатации. У Windows Defender эта защита отсутствовала. Как отметили разработчики Flying Sandbox Monster, Microsoft купила то, что потом станет Windows Defender, еще в 2004 г., хотя финальный релиз антивируса под этим названием был анонсирован в конце 2006 г. Уже в те годы отсутствие изоляции в «песочнице» не приветствовалось, но и не рассматривалось как криминал.
С тех пор Microsoft успела обеспечить разными формами защиты свои наиболее атакуемые приложения, в частности, браузеры. Но при этом Windows Defender, по мнению сотрудников TrailofBits, «застрял в 2004 г.».
Вопрос концепции
Разработка Trail of Bits носит сугубо концептуальный характер, официально Microsoft ее никак не поддерживает, и еще не известно, будет ли ИТ-гигант реализовывать предложенный подход в своем продукте на самом деле.
«Проблема с "песочницей" состоит в том, что она неизбежно снижает быстродействие запускаемых в ней приложений, по сравнению с тем, как если бы их запускали прямо в среде операционной системы, — поясняет Дмитрий Гвоздев, генеральный директор компании "Информационные технологии будущего". — Антивирусы пользуются весьма дурной славой как один из основных факторов торможения производительности всей системы. Возможно, это и является основной причиной, почему движок Windows Defender до сих пор не был убран в "песочницу".
Разработчики Trail of Bits стремились показать, что Windows Defender можно "спрятать в песочницу", но не проверяли, как это скажется на производительности. В последние месяцы в Windows Defender неоднократно находили более чем серьезные уязвимости, позволявшие захватывать полный контроль над машинами, на которых установлен этот антивирус. Это неприятно контрастирует с общими усилиями Microsoft усовершенствовать безопасность своих продуктов, зато добавляет аргументов производителям сторонних защитных решений, указывающих, что Windows Defender — далеко не лучший выбор для пользователей».
Поделиться
Короткая ссылка
