Windows Defender se convierte en el primer antivirus en ejecutarse dentro de un sandbox
Microsoft anunció recientemente que Windows Defender es el primer antivirus en ganar la capacidad de ejecutarse dentro de un entorno de espacio aislado, es decir, de poderse ejecutar en un sandbox.
Una sandbox es un mecanismo de seguridad que funciona al separar un proceso dentro de un área estrechamente controlada del sistema operativo que le da a ese proceso acceso a recursos limitados de disco y memoria.
La idea detrás del uso del sandbox es evitar que los errores y la explotación de código se propaguen de un proceso a otro, o al sistema operativo subyacente.
Una fuga de un sandbox es una de las piezas de malware de explotación más complejas, o un pirata informático puede realizar, y ejecutar programas dentro de entornos de caja de arena se considera una medida de seguridad óptima y una buena arquitectura de software.
"Estamos en el proceso de habilitar gradualmente esta capacidad para los miembros de Windows y analizar continuamente los comentarios para refinar la implementación", dijo Microsoft
Los usuarios que no pueden esperar hasta que Microsoft termine de probar la función también pueden habilitarla ahora mismo. El soporte para Windows Defender que se ejecuta en un entorno de espacio aislado se ha agregado desde la versión 1703 de Windows 10 versión 1703.
Microsoft dice que comenzó a trabajar con Windows Defender en un entorno de espacio aislado después de que "los investigadores de seguridad tanto dentro como fuera de Microsoft hayan identificado previamente las formas en que un atacante puede aprovechar las vulnerabilidades de los analizadores de contenido de Windows Defender Antivirus que podrían permitir la ejecución de código arbitrario".
Tavis Ormandy un investigador de seguridad de Google durante muchos de sus informes de errores había recomendado tanto de forma privada y públicamente que Microsoft debería mover a Windows Defender a un sandbox para que eviten que los atacantes lo utilicen como una forma de apoderarse de los ordenadores con Windows.
Uno de los problemas de los Antivirus es el código malformado en los archivos
Este tipo de ataques es posible porque Windows Defender, pero también todos los programas antivirus, analiza automáticamente todos los archivos entrantes y flujos de datos, como correos electrónicos, mensajes instantáneos o archivos recién descargados.
Windows Defender analiza estos archivos en busca de virus, pero si el archivo contiene código mal formado, este análisis automático también garantiza que el código malicioso se ejecute tan pronto como llegue al ordenador de un usuario, con privilegios elevados.
Si Windows Defender o cualquier otro antivirus es vulnerable, el ataque puede ser devastador, permitiendo a los piratas informáticos tomar el control total de las PC específicas.