image

Windows Defender eerste virusscanner die in sandbox draait

maandag 29 oktober 2018, 10:23 door Redactie, 19 reacties
Laatst bijgewerkt: 29-10-2018, 14:59

Beveiligingslekken in anti-virussoftware kunnen zeer grote gevolgen voor de veiligheid van systemen hebben. Aanleiding voor Microsoft om een sandbox voor Windows Defender te ontwikkelen, de in Windows ingebouwde virusscanner. Volgens de softwaregigant is Windows Defender daarmee de eerste volledige anti-virusoplossing die in een sandbox draait.

De afgelopen jaren hebben onderzoekers in Windows Defender en andere anti-virussoftware tal van ernstige kwetsbaarheden aangetoond. Anti-virussoftware zit vaak diep genesteld in het besturingssysteem en draait daarbij ook nog eens permanent in de achtergrond. Kwetsbaarheden kunnen een aanvaller op deze manier vergaande toegang geven en zijn vaak zonder interactie van de gebruiker te misbruiken. Zo kan het bijvoorbeeld volstaan om alleen een e-mail met een kwaadaardige bijlage te versturen. De bijlage wordt automatisch gescand, waardoor een eventuele exploit automatisch wordt uitgevoerd.

Beveiligingsexperts en onderzoekers roepen dan ook al jaren dat anti-virusbedrijven een sandbox voor hun anti-virussoftware moeten ontwikkelen. De sandbox fungeert als een extra beveiligingsmaatregel. Een aanvaller moet niet alleen een kwetsbaarheid in de anti-virussoftware zien te vinden, maar ook in de sandbox voordat hij het onderliggende systeem kan aanvallen. Microsoft heeft een dergelijke beveiligingsmaatregel nu voor de nieuwste testversie van Windows Defender op Windows 10 ontwikkeld.

"Het laten draaien van Windows Defender Antivirus in een sandbox zorgt ervoor dat in het onwaarschijnlijke geval van een hack, kwaadaardige acties zijn beperkt tot de geïsoleerde omgeving, waardoor de rest van het systeem wordt beschermd", zegt Microsofts Mady Marinescu. Ze merkt op dat prestaties vaak de voornaamste zorg zijn bij sandboxes, met name in het geval van anti-virussoftware die vaak bij allerlei gebeurtenissen op het systeem is betrokken.

Om ervoor te zorgen dat de systeemprestaties niet onder de sandbox te lijden hebben is het aantal interacties tussen de sandbox en het geprivilegieerde proces beperkt. Zo vindt er alleen interactie tussen de sandbox plaats op belangrijke momenten waarbij de impact verwaarloosbaar is. De sandbox wordt nu onder testers van Windows Defender op Windows 10 ingeschakeld, maar gebruikers kunnen dit ook zelf doen op Windows 10, versie 1703 of nieuwer. Windows Defender is een standaardonderdeel van Windows 8.1 en Windows 10 en presteert tijdens tests vaak net zo goed als betaalde anti-virusoplossingen.

Reacties (19)
29-10-2018, 10:30 door Anoniem
Microsoft wordt echt steeds beter en slimmer in het bedenken van een betere en veiligere architectuur met slimmere oplossingen.
29-10-2018, 10:44 door Anoniem
Open een Elevated command en kopie/paste het volgende command: setx /M MP_FORCE_USE_SANDBOX 1
Reboot en Defender draait in sandbox mode.
29-10-2018, 10:52 door Anoniem
Microsoft schijnt toch dingen te kunnen doen dat andere anti-virusscanners niet lukt te doen, complimenten naar Microsoft!
29-10-2018, 11:38 door Anoniem
Als we een virusscanner een "malware analyzing tool" zouden noemen, dan is het niet de eerste oplossing.
Hooguit de eerste kant- en klare oplossing.

Er bestaan al langer mogelijkheden voor malware analyzing in een sandbox.
Voorbeeld: https://cuckoosandbox.org/
Daarbij kan het zelfs een risico zijn om een virusscanner in een sandbox te hebben.
Malware schrijvers doen namelijk hun best om te zorgen dat virus/malware niet wordt gestart in een situatie waabij wordt gedetecteerd dat de malware aanwezig is in een sandbox.
Zie https://blog.malwarebytes.com/101/2013/02/sandbox-sensitivity/.
Of Microsoft hier nu ook meteen een 100% werkende oplossing voor heeft gevonden, lijkt mij nog maar zeer de vraag.
29-10-2018, 11:46 door Anoniem
Door Anoniem: Microsoft schijnt toch dingen te kunnen doen dat andere anti-virusscanners niet lukt te doen, complimenten naar Microsoft!

Je kan ook zeggen dat Microsoft onder Windows 10 het niet toestaat dat andere beveilings-software hetzelfde doet. Ze creeren een vacuum waar alleen Microsoft software nog alle rechten heeft. Daar bepaalde functionaliteit alleen kan draaien indien de code door Microsoft is gesigneerd en Microsoft - alleen voor derden - steeds strictere regels oplegt, geeft het alleen maar een vals gevoel van bescherming...
29-10-2018, 13:30 door Anoniem
Door Anoniem:
Door Anoniem: Microsoft schijnt toch dingen te kunnen doen dat andere anti-virusscanners niet lukt te doen, complimenten naar Microsoft!

Je kan ook zeggen dat Microsoft onder Windows 10 het niet toestaat dat andere beveilings-software hetzelfde doet. Ze creeren een vacuum waar alleen Microsoft software nog alle rechten heeft. Daar bepaalde functionaliteit alleen kan draaien indien de code door Microsoft is gesigneerd en Microsoft - alleen voor derden - steeds strictere regels oplegt, geeft het alleen maar een vals gevoel van bescherming...

Zucht… het is gewoon werk hoor: elke andere leverancier kan AppContainers gebruiken om hetzelfde te bereiken.
29-10-2018, 13:48 door Anoniem
Standaard functionaliteit, bijvoorbeeld in alle Avast commerciele produkten. https://www.avast.com/f-sandbox

Laat marketeers beweringen eens onderbouwen, voor deze als ''nieuws'' te presenteren.
29-10-2018, 13:48 door Anoniem
Microsoft wordt echt steeds beter en slimmer in het bedenken van een betere en veiligere architectuur met slimmere oplossingen.

LMFAO.
29-10-2018, 14:47 door Anoniem
Enigszins onduidelijk artikel, eerst wordt er gezegd dat Defender in een sandbox draait daarna dat Defender over een sandbox beschikt. Daarna zit Defender zelf weer in een sandbox.
29-10-2018, 14:53 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Microsoft schijnt toch dingen te kunnen doen dat andere anti-virusscanners niet lukt te doen, complimenten naar Microsoft!

Je kan ook zeggen dat Microsoft onder Windows 10 het niet toestaat dat andere beveilings-software hetzelfde doet. Ze creeren een vacuum waar alleen Microsoft software nog alle rechten heeft. Daar bepaalde functionaliteit alleen kan draaien indien de code door Microsoft is gesigneerd en Microsoft - alleen voor derden - steeds strictere regels oplegt, geeft het alleen maar een vals gevoel van bescherming...

Zucht… het is gewoon werk hoor: elke andere leverancier kan AppContainers gebruiken om hetzelfde te bereiken.

Zucht... Geeft aan dat je niet zoveel er vanaf weet. AppContainers zijn leuk/handig/veilig, maar als beveilings-software in een AppContainer draait, kan deze nooit alle processen e.d. beschermen/scannen want die zijn afgeschermd. Om vele dreigingen tegen te houden (denk aan o.a. EternalBlue, Rootkits, OS Exploits, e.d.) heb je toch echt hogere systeemrechten nodig en moet je op kernel-niveau draaien.
29-10-2018, 16:01 door Anoniem
Twee redenen: anti-virus vendoren moeten ook oudere Windows versies ondersteunen, waardoor ze niet van de Microsoft API's gebruik kunnen maken, tenzij ze twee compleet verschillende producten zouden gaan ontwikkelen. Daarnaast vraag ik me af in hoeverre Defender rootkits en malware in hardware componenten kan herkennen. Wel goed dat Microsoft hun Defender product gratis aanbiedt voor klanten die anders geen AV zouden draaien. En met de telemetrie uit Defender kunnen ze het onderliggende OS weer beter aanpakken qua beveiliging (win-win).
29-10-2018, 16:22 door Anoniem
Door Anoniem: Twee redenen: anti-virus vendoren moeten ook oudere Windows versies ondersteunen, waardoor ze niet van de Microsoft API's gebruik kunnen maken, tenzij ze twee compleet verschillende producten zouden gaan ontwikkelen. Daarnaast vraag ik me af in hoeverre Defender rootkits en malware in hardware componenten kan herkennen. Wel goed dat Microsoft hun Defender product gratis aanbiedt voor klanten die anders geen AV zouden draaien. En met de telemetrie uit Defender kunnen ze het onderliggende OS weer beter aanpakken qua beveiliging (win-win).

Ik denk dat malware en rootkits die in je hardware componenten zitten erg lastig voor een OS te detecteren is en het verwijderen ervan ook nog eens voor de stabiliteit van je systeem grote gevolgen heeft.
29-10-2018, 16:42 door Anoniem
Op basis van de security statistiek zou het misschien een goed idee zijn om het radicaal anders aan te pakken.
Omdraaien!
Windows draait voortaan in de sandbox van het av product!
Er worden immers veel meer gaten gevonden in windows dan in av producten.
Daarmee is dit nieuwtje dus van een matige aard, omdat het beter kan!
29-10-2018, 17:21 door Anoniem
Door Anoniem: Op basis van de security statistiek zou het misschien een goed idee zijn om het radicaal anders aan te pakken.
Omdraaien!
Windows draait voortaan in de sandbox van het av product!
Er worden immers veel meer gaten gevonden in windows dan in av producten.
Daarmee is dit nieuwtje dus van een matige aard, omdat het beter kan!

Jij hebt duidelijk geen verstand van hoe een besturingssysteem in elkaar zit.
29-10-2018, 18:39 door Anoniem
Door Anoniem: Standaard functionaliteit, bijvoorbeeld in alle Avast commerciele produkten. https://www.avast.com/f-sandbox

Laat marketeers beweringen eens onderbouwen, voor deze als ''nieuws'' te presenteren.

Je hebt niet goed gelezen. Dit is geen sandbox waar anti-virus verdachte bestanden in opent. De anti-virus draait nu volledig in een sandbox. Dat heeft Avast niet en zijn twee geheel verschillende dingen.
29-10-2018, 22:07 door Anoniem
Door Anoniem:
Door Anoniem: Op basis van de security statistiek zou het misschien een goed idee zijn om het radicaal anders aan te pakken.
Omdraaien!
Windows draait voortaan in de sandbox van het av product!
Er worden immers veel meer gaten gevonden in windows dan in av producten.
Daarmee is dit nieuwtje dus van een matige aard, omdat het beter kan!

Jij hebt duidelijk geen verstand van hoe een besturingssysteem in elkaar zit.

En jij niet genoeg kennis van de markt om de grap te begrijpen?
Hint : "Bootable Antivirus"
En dan nog een beetje verder virtualiserend fantaseren.

;p
30-10-2018, 16:22 door Anoniem
Deze script analiserende browser doet het ook nog steeds goed,
vooral als je hem een beetje moderniseren wilt.

Bobby's Malzilla http://malzilla.sourceforge.net/
Draait alles binnen een zandbak.

luntrus
11-11-2018, 20:00 door Anoniem
Ik heb Defender sandbox geactiveerd.

Met commando Setx/m mp_force_use_sandbox 1

Ik wil er heel graag weer vanaf.

1 Ik kan mijn notebook 6 maanden oud niet meer normaal afsluiten alleen door de knop ingedrukt te houden.
2 Mijn internet is vreselijk traag geworden.
3 iets hogere CPU belasting 1 tot 2%

Als iemand mij kan helpen dan hoor ik het graag.
12-11-2018, 07:36 door Anoniem
Betreft Microsoft Defender Sandbox.

Ik heb deze succesvol geactiveerd in dos met de commando Setx/m mp_force_use_sandbox 1

Ik heb sindsdien alleen maar problemen.

1 Mijn nieuwe Acer notebook wil sinds die avond niet meer normaal afsluiten alleen nog door de aan/uit knop ingedrukt te houden voor enkele seconde.
2 Mijn internet is niet meer vooruit te branden.
3 Mijn CPU belasting is iets hoger geworden dit vind wel het minst erg.

Ik begrijp niet waarom Microsoft deze sandbox niet gewoon in Defender heeft toegevoegd inclusief instellingen waaronder het aan en uit zetten.

Ik heb niet stil gezeten en gezocht op het internet.

https://support.office.com/en-us/article/turn-sandbox-mode-on-or-off-to-disable-macros-8cc7bad8-38c2-4a7a-a604-43e9a7bbc4fb

Ik heb iets gevonden van Microsoft zelf.

Zie de link maar dit is geen oplossing het opgegeven pad

\Software\Microsoft\Office\15.0\Access Connectivity Engine\Engines klopt niet.

tot 15.0 komt het overeen daarna kom ik in een lege map terecht.

Hopelijk kunt u mij van deze ellende afhelpen anders moet ik moet ik mijn computer gaan herstellen. Teruggaan naar een herstelpunt of geheel opnieuw installeren.

Alvast hartelijke dank voor het mee denken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.