Защитник из песочницы

Разработчики корпорации Microsoft добились возможности запуска защитного инструмента Windows Defender в «песочнице» - изолированной виртуальной среде. Обычно функция «запуска в песочнице» используется самими защитными решениями и применяется в отношении подозрительных программ. Однако в данном случае в песочницу помещено именно защитное ПО, и тому есть причины. Антивирусы являются такими же программами, как и любые другие, и в них точно так же время от времени обнаруживаются уязвимости. При этом уровень привилегий защитных программ чрезвычайно высок, и, скомпрометировав их, злоумышленники автоматически получают практически неограниченный контроль над системой.

В Windows Defender дважды за последнее время обнаруживались серьезные уязвимости. Первую из них выявили в мае прошлого года исследователи Google Project Zero Тэвис Орманди и Натали Сильванович. Корпорации Microsoft пришлось тогда выпустить внеплановое обновление безопасности, чтобы устранить проблему. А в апреле нынешнего года была исправлена еще одна ошибка, найденная самими экспертами Microsoft. В обоих случаях уязвимости позволяли исполнение произвольного кода на затронутых системах. И хотя об их эксплуатации в реальных атаках ничего не известно, степень угрозы следует признать весьма высокой.

Запуск защитного решения в песочнице является нетривиальной задачей: программа по определению должна иметь доступ к огромному числу данных различных системных ресурсов в режиме реального времени. Тем не менее, в корпорации Microsoft полагают, что смогли решить эту задачу. В настоящий момент функция работы Windows Defender в песочнице доступна участникам программы тестирования Windows Insider для ОС Windows 10 версий 1703 и выше. Впрочем, рядовые пользователи этих версий могут включить функцию вручную, выполнив в командной строке команду setx /M MP_FORCE_USE_SANDBOX 1 с последующей перезагрузкой компьютера (для этой операции необходимы права администратора).