Microsoft packt Windows Defender in eine Sandbox

Microsoft hat seiner Sicherheitsanwendung Windows Defender eine neue Funktion spendiert, die sie besser vor Angriffen von Hackern schützen soll. Als erster Anbieter überhaupt führt Microsoft seine Antivirensoftware nun innerhalb einer Sandbox-Umgebung aus. Allerdings steht das Feature anfänglich nur Teilnehmern des Windows Insider Program zur Verfügung.

Eine Sandbox ist ein abgeschlossener Bereich, der den Windows-Defender-Prozess vom restlichen Betriebssystem isoliert. Sicherheitsanwendungen sind, da sie über umfangreiche Rechte verfügen, ein beliebtes Ziel von Angreifern – zumal sie wie alle Anwendungen nicht fehlerfrei sind. Die Sandbox soll nun verhindern, dass Schadcode, der tatsächlich über Windows Defender ausgeführt wird, nicht auf andere Prozesse des Betriebssystems übergreift. Vor allem bei Browsern ist diese Technik seit Jahren weit verbreitet.

Ein Sandbox-Escape, also ein Fehler, der das Verlassen der Sandbox erlaubt, gehört in der Regel zu den komplexesten Formen von Schadsoftware. Auf Hacker-Wettbewerben werden für solche Anfälligkeiten die höchsten Prämien bezahlt.

„Wir sind dabei, die Funktion schrittweise für Windows Insider freizugeben und analysieren fortlaufend die Rückmeldungen, um die Implementierung zu verfeinern“, teilte Microsoft in einem Blogeintrag mit.

Nutzer, die sich an den Tests beteiligen wollen, können die Funktion mit einem einfachen Befehl zumindest unter Windows 10 freischalten. Sie müssen über das Startmenü die Eingabeaufforderung als Administrator starten und den Befehl „setx /m MP_FORCE_USE_SANDBOX 1“ eingeben. Nachdem die Ausführung des Befehls bestätigt wurde, muss das System neu gestartet werden.

Die Arbeit an dem Projekt begann nach Angaben des Unternehmens, nachdem eigene und externe Sicherheitsforscher aufgezeigt hatten, wie Angreifer Schwachstellen in Windows Defender ausnutzen könnten, um beliebigen Schadcode einzuschleusen und auszuführen. Darunter war eine Schwachstelle, die der Google-Forscher Travis Ormandy sogar als „crazy bad“ bezeichnete, weil es ausreichend war, einem Zielobjekt eine E-Mail zu schicken, um Schadcode aus der Ferne auszuführen – die Nachricht musste nicht angeklickt oder geöffnet werden.

Ormandy forderte zu dem Zeitpunkt unter anderem, die Malware Protection Engine von Windows Defender in einer Sandbox auszuführen. Für derartige Angriffe, wie Ormandy sie beschrieben hat, sind auch Sicherheitsanwendungen von anderen Herstellern anfällig, weil bisher kein Anbieter auf eine Sandbox setzt. Ormandy kommentierte Ormandy Microsofts Ankündigung per Twitter mit den Worten: „Wow, das ist unglaublich. Herzlichen Glückwunsch an das Team, das ändert alles.“