A versão em área restrita agora está disponível para o Windows Insiders e para qualquer outra pessoa que a habilite no Windows 10 versão 1703 e superior.

Em uma grande mudança para a segurança do Windows, a Microsoft criou o Windows Defender para ser executado em um ambiente de área restrita.

A Microsoft começou o processo de mover o Windows Defender para uma sandbox depois de muitas informações da comunidade de segurança. Pesquisadores dentro e fora da empresa detectaram maneiras pelas quais um invasor poderia abusar de falhas nos analisadores de conteúdo da ferramenta e permitir a execução arbitrária de códigos.

Mas o projeto foi uma “tarefa complexa”, disse Mady Marinescu, da equipe de Engenharia do Windows Defender, e Eric Avena, da Microsoft Content Experience, em um post no noticiário. A equipe teve que estudar as implicações de desempenho e funcionalidade, bem como identificar áreas de alto risco para garantir que o sandbox não contrariasse as medidas de segurança existentes.

O Windows Defender é executado com altos privilégios para verificar sistemas em busca de conteúdo mal-intencionado; Por causa disso, ele já é um dos principais alvos dos ataques cibernéticos. Se alguém conseguir explorar um bug no Windows Defender, todo o sistema poderá ser controlado. A Microsoft relata que não viu ataques direcionados à sua ferramenta de antivírus no mundo, mas tem endurecido o Windows 10 ao longo do tempo com isolamento baseado em hardware, proteção de rede, acesso controlado a pastas e outras tecnologias.

Com o Windows Defender em execução em um ambiente de execução de processo restritivo, os invasores que invadirem ficam presos dentro do ambiente isolado e não podem afetar o restante do sistema.

Em seu post, Mainescu e Avenca detalharam o processo de balanceamento de funcionalidade e desempenho no sandboxing. A Microsoft teve que, por exemplo, considerar as funções de risco, como a varredura de entradas não confiáveis ​​e a expansão de contêineres, minimizando o número de interações entre os componentes Defender que podem ser protegidos e aqueles que devem ser executados com privilégios totais.

O desempenho é uma preocupação fundamental com as ferramentas antivírus do sandbox, que executam simultaneamente vários processos, explicaram eles. Para mitigar o risco, a equipe teve que minimizar o número de interações entre os processos em área restrita e privilegiada e garantir que essas interações fossem feitas apenas “em momentos-chave em que seu custo não seria significativo”.

Agora, o recurso está disponível para o Windows Insiders testar em versões futuras do Windows 10. Se você não estiver no programa e não puder esperar pela Microsoft para liberá-lo completamente, poderá forçar o Windows Defender a ser executado em um sandbox Windows 10 versão 1703 e posterior.

A Microsoft está olhando para o futuro e agora está trabalhando em defesas anti-temperamento para o Windows Defender Antivirus, relata.

 

Fonte: Dark Reading

Autor: Kelly Sheridan