El sandboxing es un proceso que ejecuta una aplicación en un entorno seguro, aislado del resto del sistema operativo y las aplicaciones en una computadora. De modo que si una aplicación de espacio aislado se ve comprometida, la técnica evita que su daño se extienda fuera del área cerrada.
Dado que las herramientas antivirus y antimalware se ejecutan con el nivel más alto de privilegios para escanear todas las partes de una computadora en busca de códigos maliciosos, se ha convertido en un objetivo deseado para los atacantes.
La necesidad de un sandbox para una herramienta antivirus se ha vuelto necesaria después de que se descubrieron múltiples vulnerabilidades críticas en aplicaciones tan poderosas, como Windows Defender, en los últimos años que podrían haber permitido a los atacantes obtener el control total de un sistema específico.
Es por eso que Microsoft anunció que agregará un modo de caja de arena a su Windows Defender. Entonces, incluso si un atacante o una aplicación malintencionada que explota una falla en Defender compromete el motor antivirus, el daño no puede llegar a otras partes del sistema.
«Los investigadores de seguridad tanto dentro como fuera de Microsoft han identificado previamente formas en que un atacante puede aprovechar las vulnerabilidades de los analizadores de contenido de Windows Defender Antivirus que podrían permitir la ejecución de código arbitrario», dijo Microsoft en una publicación del blog .
El investigador de Google Project Zero, Tavis Ormandy , quien descubrió y reveló varios de estos tipos de fallas en el último año, elogió el esfuerzo de Microsoft en Twitter y dijo que era un «cambio de juego».
«La ejecución de Windows Defender Antivirus en una caja de arena garantiza que, en el improbable caso de un compromiso, las acciones maliciosas se limiten al entorno aislado, protegiendo al resto del sistema de cualquier daño», dijo Microsoft.
Según Microsoft, la implementación del sandboxing en Windows Defender fue un desafío para sus ingenieros porque el proceso tenía el potencial de causar una degradación del rendimiento y requería una serie de cambios fundamentales.
Sin embargo, la comunidad de investigación lo ha tomado como un paso de bienvenida por parte de Microsoft, que ha elevado el estándar de seguridad para las soluciones comerciales de antivirus y antimalware.
Cómo activar la función Sandbox en Windows Defender Antivirus
Por ahora, Windows Defender se ejecuta en Windows 10, versión 1703 (también conocida como Actualización de creadores) o posterior, es compatible con la función de recinto de seguridad, que no está habilitada de forma predeterminada, pero puede activar la función ejecutando el siguiente comando en su sistema:
- Abra Inicio y busque «CMD» o «Símbolo del sistema»
- Haga clic derecho sobre él y seleccione «Ejecutar como administrador».
- Escriba: «setx / M MP_FORCE_USE_SANDBOX 1» y luego presione ENTER
- Luego reinicia tu computadora, eso es todo
Microsoft está implementando gradualmente una vista previa de Windows Insider que admite la función de espacio aislado en Defender Antivirus, y la característica pronto estará ampliamente disponible, aunque no está seguro de cuándo ocurrirá esto.
Fuente: Thehackernews.com