ابزار ضد دژافزارِ مایکروسافت ویندوز یا همان Windows Defender تبدیل به اولین نرمافزار آنتیویروسی شده است که توانایی اجراشدن در داخل یک محیط سندباکس را دارد.
سندباکس یک فرآیند است که یک برنامه را در یک محیط امن و جدا از بقیه سیستمعامل و برنامههای کاربردی بر روی رایانه اجرا میکند. بهطوریکه اگر یک برنامه سندباکس به خطر افتاده باشد، این روش مانع آسیب آن ناشی از گسترش در خارج از منطقه بستهشده میشود.
ازآنجاییکه ابزارهای ضدویروس و ضددژافزار با بالاترین سطح از امتیازات بهمنظور اسکن تمام قسمتهای یک کامپیوتر برای یافتن کد موذی اجرا میشوند، تبدیل به هدفی مناسب برای مهاجمان شدهاند.
پس از کشف چندین آسیبپذیری بحرانی در سالهای گذشته در چنین برنامههای قدرتمندی ازجمله Windows Defender که به مهاجمان اجازه میداد تا کنترل کامل سیستم را در اختیار گیرند، نیاز به سندباکس کردن یک ابزار آنتیویروس احساس میشد.
به همین دلیل مایکروسافت اعلام کرد که یک حالت سندباکس به Windows Defender خود اضافه خواهد کرد. بنابراین، اگر یک مهاجم یا یک برنامه موذی از یک نقص در Defender بهرهبرداری کند و موتور آنتیویروس را به خطر بیندازد، این آسیب نمیتواند به سایر قسمتهای سیستم منتقل شود.
مایکروسافت در یک پست وبلاگ دراینباره گفته است[۱]: “محققان امنیتی در داخل و خارج از مایکروسافت قبلاً راههایی را شناسایی کردهاند که یک مهاجم میتواند از آسیبپذیریهایی در تجزیهکنندههای محتوا در آنتیویروس Windows Defender استفاده کند که میتواند منجر به اجرای کد دلخواه شود”.
محقق پروژه Zero در گوگل یعنی Tavis Ormandy، که در سال گذشته تعدادی از این معایب را کشف و افشا کرد[۲]، در توییتر از تلاش مایکروسافت به خاطر فعال کردن سندباکس تمجید کرد و گفت که این یک تغییر در استراتژی است.
مایکروسافت دراینباره گفت: «اجرای آنتیویروس Windows Defender در یک سندباکس اطمینان میدهد که در مواقع به خطر افتادن آنتیویروس، اقدامات موذیانه محدود به محیط جداشده شود و از آسیب رسیدن به بقیه سیستم جلوگیری شود.
طبق گفته مایکروسافت، استفاده از سندباکس در Windows Defender یک چالش برای مهندسان آن بود، زیرا این فرآیند توانایی کاهش عملکرد این آنتیویروس را داشت و نیازمند تغییرات اساسی بود.
بااینحال، جامعه تحقیقاتی آن را بهعنوان یک گام روبهجلو از مایکروسافت در نظر گرفته است که موجب افزایش امنیت در راهحلهای آنتیویروسهای تجاری و ضد تروجان شده است.
نحوه فعال کردن ویژگی سندباکس در آنتیویروس Windows Defender
در حال حاضر، Windows Defender در حال اجرا بر روی ویندوز ۱۰، نسخه ۱۷۰۳ از ویژگی سندباکس پشتیبانی میکند که بهطور پیشفرض فعال نیست، اما شما میتوانید این ویژگی را با اجرای دستور زیر در سیستم خود فعال کنید:
- CMD یا Command Prompt را در قسمت Run تایپ کنید.
- بر روی آن راست کلیک کرده و Run as administrator را انتخاب کنید.
- setx / M MP_FORCE_USE_SANDBOX 1 را تایپ کرده و سپس ENTER را فشار دهید.
- سپس کامپیوتر خود را مجدداً راهاندازی کنید.
مایکروسافت بهتدریج در حال آمادهسازی یک پیشنمایش از Windows Insider است که از ویژگی سندباکس در Windows Defender پشتیبانی میکند و این ویژگی بهزودی بهطور گسترده در دسترس خواهد بود، اما زمان دقیق آن هنوز مشخص نشده است.
منابع
[۱]https://cloudblogs.microsoft.com/microsoftsecure/2018/10/26/windows-defender-antivirus-can-now-run-in-a-sandbox
[۲] https://thehackernews.com/2017/05/windows-rce-exploit.html
[۳] https://thehackernews.com/2018/10/windows-defender-antivirus-sandbox.html
ثبت ديدگاه