Microsoft sta testando un miglioramento della sicurezza della sua utility anti-malware integrata per Windows 10, Defender, che vedrà il programma essere isolato dal resto del sistema operativo.
Tradizionalmente, i programmi anti-malware devono essere eseguiti con privilegi elevati per raggiungere e scansionare tutte le parti di un computer e il suo sistema operativo con codice dannoso.
Questa posizione di accesso al sistema, tuttavia, implica che programmi anti-malware diventino bersagli per l’attacco, secondo Mady Marinescu e Erica Avena del team di ingegneri di Windows Defender.
“I ricercatori di sicurezza all’interno e all’esterno di Microsoft hanno identificato in precedenza i modi in cui un utente malintenzionato può sfruttare le vulnerabilità dei parser contenuti in Windows Defender Antivirus.“, hanno detto i due.
Il sandboxing è una tecnica che protegge altre parti del sistema nel caso in cui un programma venga compromesso.
Sebbene il sandboxing sia stato auspicabile per obiettivi di alto valore come Windows Defender, l’implementazione è stata una sfida ingegneristica
per Microsoft, poiché l’isolamento del processo poteva potenzialmente causare un degrado delle prestazioni.Microsoft afferma di aver raggiunto il sandboxing sovrapponendo i processi di ispezione per l’antivirus a quelli che devono assolutamente funzionare con i privilegi di sistema completi e altri che possono essere isolati, con una minima interazione tra questi.
Lo sforzo è stato inoltre lodato dal ricercatore di sicurezza di Google Project Zero Tavis Ormandy, che sui social media ha detto che questa implementazione è risultata essere davvero “sorprendente“.
Ormandy ha scoperto in passato vulnerabilità in Windows Defender, incluso un bug lo scorso anno che consentiva l’esecuzione remota di codice tramite il livello di emulazione x86 del programma anti-malware.
I partecipanti al programma Microsoft Early Insider di Microsoft Insider saranno i primi a provare il sandboxing per lo strumento anti-malware.
Gli utenti su Windows 10, versione 1703 o successiva possono anche utilizzare il comando setx / M MP_FORCE_USE_SANDBOX 1 che abiliterà la sandbox dopo il riavvio dei loro computer.