Сторонние разработчики сделали «песочницу» для защитника Windows

Специалисты из компании Trail of Bits, не имеющей отношения к корпорации Microsoft, обезопасили встроенный в Windows антивирус – Defender, создав для него специальную «песочницу» (sandbox).

Причиной создания концептуального фреймворка послужило то, что защитная программа, поставляемая по умолчания в комплексте вместе с операционной системой, функционирует без изолирующей среды. С середины 2000-х годов никто так и не обеспечил ее «песочницей», несмотря на неоднократное обнаружение уязвимостей.

Эксперты из компании Trail of Bits выпустили собственную разработку с открытым исходным кодом AppJailLauncher, исходный код которой доступен на GitHub. Программа, написанная на языке Rust, позволяет запускать приложения для Windows внутри собственной «песочницы» Microsoft. 

Как говорится в описании, фреймворк дает возможность вынести I/O-приложения за TCP-сервер, чтобы приложение в «песочнице» работало на другой машине. Такой подход обеспечивает дополнительный уровень изоляции. А под наименованием Flying Sandbox Monster на GitHub выложен исходный код клиента, который позволяет запуск основного компонента Windows Defender (антивирусный движок MsMpEng) из-под изолированной среды. 

Как известно, «песочница» – это специальная среда для безопасного выполнения программ с ограниченным набором доступных ресурсов – фактически, отдельная виртуальная машина. При этом доступ к сети, возможность сообщения с главной операционной системой или считывать информацию с устройства ввода либо частично эмулированы, либо сильно ограничены.

Как считают разработчики из Trail of Bits, защитник Microsoft «застрял в 2004 году», когда был куплен. После этого Microsoft снабдила разными формами защиты свои наиболее атакуемые приложения, однако так и не создала изолированную среду для своего антивируса.  

«Проблема с “песочницей” состоит в том, что она неизбежно снижает быстродействие запускаемых в ней приложений, по сравнению с тем, как если бы их запускали прямо в среде операционной системы. Антивирусы пользуются весьма дурной славой как один из основных факторов торможения производительности всей системы. Возможно, это и является основной причиной, почему движок Windows Defender до сих пор не был убран в “песочницу”», – пояснил CNews генеральный директор компании «Информационные технологии будущего» Дмитрий Гвоздев.

Сотрудники компании Trail of Bits смогли показать, что для Windows Defender можно применить «песочницу», однако не проверяли то, как это отражается на производительности.

Напомним, что за последние месяцы было несколько случаев массовых кибератак, от которых пострадали как рядовые пользователи, так и крупные компании по всему миру.