微軟Windows Defender Antivirus成為第一個能在沙盒中運行的防毒產品
微軟上周宣佈,其防毒軟體Windows Defender Antivirus已經可在沙盒中執行,成為第一
個具備此類能力的防毒軟體。微軟並準備釋出給Windows Insider方案的開發或研究人員
。
將Windows Defender Antivirus成功置於沙盒中執行可防止沙盒應用被入侵,將惡意程式
隔離在孤立環境中,確保系統其他部份不受影響。微軟說明開發能讓Windows Defender
Antivirus在沙盒中執行的原因在於,除了微軟持續強化Windows 10整體對攻擊的防禦能
力外,微軟內、外部研究人員已發現Windows Defender Antivirus內容分析器(content
parser)的漏洞可用來執行任意程式碼執行。雖然沒有看到Defender Antivirus漏洞的入
侵行為,但也激起該公司強化產品能力的想法。
這家軟體巨人指出,將Windows Defender Antivirus置於程序執行受限環境下,是聽取安
全業界及研究界意見的結果。這是一件很困難的挑戰,因為他們必須考慮對效能和功能性
的影響、找出高風險區域,並確保這類沙盒技術不會影響產品原有的安全性等。
微軟解釋為此對Windows Defender Antivirus做了哪些調整。首先,現代安全軟體需要掃
瞄各種對象,包括磁碟、記憶體中的資料串,以及即時行為事件等。而沙盒化的最重要功
能之一需要將Windows Defender Antivirus掃瞄能力分層(layering)以完整權限執行,
而且可於沙盒中執行的元件。將這些元件沙盒化執行的目的是可涵括高風險任務,例如掃
瞄不受信賴的輸入指令、擴大的容器等,此外也需要將兩個分層間的互動減少至最小以避
免大幅損及效能,而只在對效能要求較低時執行這些互動。
Defender Antivirus也儘量做協調作業以避免產生不必要的I/O、減少資料讀取,以確保
受檢查檔案維持良好效能,尤其是在老舊硬體上。此外,微軟也藉由限制可被處理的同時
呼叫,以減少程序間通訊(inter-process communication)、引發死結(deadlock)或
優先權顛倒(priority inversion)等效能瓶頸,並以低權限的Appcontainer實作沙盒,
防止不預期的程序被驅動。其他還需考量逐步部署及可使用資源的問題,還要賦予
Windows Defender Antivirus高度權限,使它有能力及時緩解事件、或復原被感染的元件
。
微軟準備逐步將Windows Defender Antivirus釋出給加入Windows Insider方案的開發或
研究人員。目前僅Windows 10的1703版本以上支援這項新功能。
使用者可以藉由設定環境變項(setx /M MP_FORCE_USE_SANDBOX 1)後重新開機,一旦沙
盒功能啟動,使用者即會在Windows Defender Antivirus中看到MsMpEngCP.exe的內容程
序。
來源:https://www.ithome.com.tw/news/126679