سندباکس

ابزار ضد دژافزارِ مایکروسافت ویندوز یا همان Windows Defender تبدیل به اولین نرم‌افزار آنتی‌ویروسی شده است که توانایی اجراشدن در داخل یک محیط سندباکس را دارد.

سندباکس یک فرآیند است که یک برنامه را در یک محیط امن و جدا از بقیه سیستم‌عامل و برنامه‌های کاربردی بر روی رایانه اجرا می‌کند. به‌طوری‌که اگر یک برنامه سندباکس به خطر افتاده باشد، این روش مانع آسیب آن ناشی از گسترش در خارج از منطقه بسته‌شده می‌شود.

ازآنجایی‌که ابزارهای ضدویروس و ضددژافزار با بالاترین سطح از امتیازات به‌منظور اسکن تمام قسمت‌های یک کامپیوتر برای یافتن کد موذی اجرا می‌شوند، تبدیل به هدفی مناسب برای مهاجمان شده‌اند.

پس از کشف چندین آسیب‌پذیری بحرانی در سال‌های گذشته در چنین برنامه‌های قدرتمندی ازجمله Windows Defender که به مهاجمان اجازه می‌داد تا کنترل کامل سیستم را در اختیار گیرند، نیاز به سندباکس کردن یک ابزار آنتی‌ویروس احساس می‌شد.

به همین دلیل مایکروسافت اعلام کرد که یک حالت سندباکس به Windows Defender خود اضافه خواهد کرد. بنابراین، اگر یک مهاجم یا یک برنامه موذی از یک نقص در Defender بهره‌برداری کند و موتور آنتی‌ویروس را به خطر بیندازد، این آسیب نمی‌تواند به سایر قسمت‌های سیستم منتقل شود.

مایکروسافت در یک پست وبلاگ دراین‌باره گفته است[۱]: “محققان امنیتی در داخل و خارج از مایکروسافت قبلاً راه‌هایی را شناسایی کرده‌اند که یک مهاجم می‌تواند از آسیب‌پذیری‌هایی در تجزیه‌کننده‌های محتوا در آنتی‌ویروس Windows Defender استفاده کند که می‌تواند منجر به اجرای کد دلخواه شود”.

محقق پروژه Zero در گوگل یعنی Tavis Ormandy، که در سال گذشته تعدادی از این معایب را کشف و افشا کرد[۲]، در توییتر از تلاش مایکروسافت به خاطر فعال کردن سندباکس تمجید کرد و گفت که این یک تغییر در استراتژی است.

مایکروسافت دراین‌باره گفت: «اجرای آنتی‌ویروس Windows Defender در یک سندباکس اطمینان می‌دهد که در مواقع به خطر افتادن آنتی‌ویروس، اقدامات موذیانه محدود به محیط جداشده شود و از آسیب رسیدن به بقیه سیستم جلوگیری شود.

طبق گفته مایکروسافت، استفاده از سندباکس در Windows Defender یک چالش برای مهندسان آن بود، زیرا این فرآیند توانایی کاهش عملکرد این آنتی‌ویروس را داشت و نیازمند تغییرات اساسی بود.

بااین‌حال، جامعه تحقیقاتی آن را به‌عنوان یک گام روبه‌جلو از مایکروسافت در نظر گرفته است که موجب افزایش امنیت در راه‌حل‌های آنتی‌ویروس‌های تجاری و ضد تروجان شده است.

نحوه فعال کردن ویژگی سندباکس در آنتی‌ویروس Windows Defender

در حال حاضر، Windows Defender در حال اجرا بر روی ویندوز ۱۰، نسخه ۱۷۰۳ از ویژگی سندباکس پشتیبانی می‌کند که به‌طور پیش‌فرض فعال نیست، اما شما می‌توانید این ویژگی را با اجرای دستور زیر در سیستم خود فعال کنید:

  • CMD یا Command Prompt را در قسمت Run تایپ کنید.
  • بر روی آن راست کلیک کرده و Run as administrator را انتخاب کنید.
  • setx / M MP_FORCE_USE_SANDBOX 1 را تایپ کرده و سپس ENTER را فشار دهید.
  • سپس کامپیوتر خود را مجدداً راه‌اندازی کنید.

مایکروسافت به‌تدریج در حال آماده‌سازی یک پیش‌نمایش از Windows Insider است که از ویژگی سندباکس در Windows Defender پشتیبانی می‌کند و این ویژگی به‌زودی به‌طور گسترده در دسترس خواهد بود، اما زمان دقیق آن هنوز مشخص نشده است.

منابع

[۱]https://cloudblogs.microsoft.com/microsoftsecure/2018/10/26/windows-defender-antivirus-can-now-run-in-a-sandbox

[۲] https://thehackernews.com/2017/05/windows-rce-exploit.html

[۳] https://thehackernews.com/2018/10/windows-defender-antivirus-sandbox.html