Windows Defender eerste virusscanner die in sandbox draait

[Captain Kirk]

Beveiligingslekken in anti-virussoftware kunnen zeer grote gevolgen voor de veiligheid van systemen hebben. Aanleiding voor Microsoft om een sandbox voor Windows Defender te ontwikkelen, de in Windows ingebouwde virusscanner. Volgens de softwaregigant is Windows Defender daarmee de eerste volledige anti-virusoplossing die in een sandbox draait.

De afgelopen jaren hebben onderzoekers in Windows Defender en andere anti-virussoftware tal van ernstige kwetsbaarheden aangetoond. Anti-virussoftware zit vaak diep genesteld in het besturingssysteem en draait daarbij ook nog eens permanent in de achtergrond. Kwetsbaarheden kunnen een aanvaller op deze manier vergaande toegang geven en zijn vaak zonder interactie van de gebruiker te misbruiken. Zo kan het bijvoorbeeld volstaan om alleen een e-mail met een kwaadaardige bijlage te versturen. De bijlage wordt automatisch gescand, waardoor een eventuele exploit automatisch wordt uitgevoerd.

Beveiligingsexperts en onderzoekers roepen dan ook al jaren dat anti-virusbedrijven een sandbox voor hun anti-virussoftware moeten ontwikkelen. De sandbox fungeert als een extra beveiligingsmaatregel. Een aanvaller moet niet alleen een kwetsbaarheid in de anti-virussoftware zien te vinden, maar ook in de sandbox voordat hij het onderliggende systeem kan aanvallen. Microsoft heeft een dergelijke beveiligingsmaatregel nu voor de nieuwste testversie van Windows Defender op Windows 10 ontwikkeld.

"Het laten draaien van Windows Defender Antivirus in een sandbox zorgt ervoor dat in het onwaarschijnlijke geval van een hack, kwaadaardige acties zijn beperkt tot de geïsoleerde omgeving, waardoor de rest van het systeem wordt beschermd", zegt Microsofts Mady Marinescu. Ze merkt op dat prestaties vaak de voornaamste zorg zijn bij sandboxes, met name in het geval van anti-virussoftware die vaak bij allerlei gebeurtenissen op het systeem is betrokken.

Om ervoor te zorgen dat de systeemprestaties niet onder de sandbox te lijden hebben is het aantal interacties tussen de sandbox en het geprivilegieerde proces beperkt. Zo vindt er alleen interactie tussen de sandbox plaats op belangrijke momenten waarbij de impact verwaarloosbaar is. De sandbox wordt nu onder testers van Windows Defender op Windows 10 ingeschakeld, maar gebruikers kunnen dit ook zelf doen op Windows 10, versie 1703 of nieuwer. Windows Defender is een standaardonderdeel van Windows 8.1 en Windows 10 en presteert tijdens tests vaak net zo goed als betaalde anti-virusoplossingen.

 

 

bron: security.nl