Windows Defender Antivirus ahora puede ejecutarse en un sandbox - El Blog de HiiARA

Software, GNU/Linux, Windows y mucho más...

Recientes

lunes, 29 de octubre de 2018

Windows Defender Antivirus ahora puede ejecutarse en un sandbox


Microsoft ha implementado una nueva seguridad para su producto antivirus Windows Defender, su principal función es hacer que el antivirus de Microsoft se ejecute en modo sandbox, por lo que esto le permitirá al propio antivirus de protegerse ante aquellos malwares que pudieran atacarlo principalmente.

Cualquier antivirus se ejecuta con los privilegios mas altos en el sistema operativo, por lo que, si un atacante puede manipular el software de seguridad instalado, cualquier amenaza será capaz de tomar el control total del sistema. Microsoft espera que el nuevo entorno de ejecución de Windows Defender ayuden a proteger la aplicación contra ataques dirigidos directamente a ella.

La compañía asegura que, si Windows Defender se ejecuta en modo sandbox, cualquier posible agujero de seguridad en su producto, permanezca contenido en un entorno aislado. Esto haría que el atacante no pueda salir dentro de la caja protegida.

Aunque Microsoft declaro que no tiene conocimientos de ataques dirigidos a su software, se sabe que, en el pasado, investigadores en seguridad dentro y fuera de la compañía, han logrado aprovechar las vulnerabilidades de Windows defender con éxito.

Poner Windows Defender Antivirus en un entorno de ejecución de proceso restrictivo es un resultado directo de los comentarios que recibimos de la industria de la seguridad y la comunidad de investigación. Era una tarea compleja: teníamos que estudiar cuidadosamente las implicaciones de tal mejora en el rendimiento y la funcionalidad. Más importante aún, tuvimos que identificar áreas de alto riesgo y asegurarnos de que el sandboxing no afectara de manera adversa el nivel de seguridad que hemos estado proporcionando.

Esta nueva característica ha sido implementada para los usuarios de Windows Insider como ejecuciones de prueba, aunque también se puede ejecutar en Windows 10 a partir de la versión 1703 o posterior.

Cómo habilitar el sandboxing para Windows Defender


Si tienes la versión de Windows 10 anteriormente mencionada, puedes activar esta característica ejecutando como Administrador el Símbolo del sistema y copiando la siguiente clave:
setx /M MP_FORCE_USE_SANDBOX 1

Es necesario que reinicie Windows para que los cambios sean visibles.

Para revertir la configuración de Windows Defender, vuelva a ejecutar como Administrador el Símbolo del sistema y cambie el valor de 1 a 0 y vuelva a reiniciar Windows.
setx /M MP_FORCE_USE_SANDBOX 0

Para verificar que ha habilitado el sandbox, puede hacerlo desde el Administrador de tareas, presionando la combinación de teclas: Ctrl + Shit + Esc, (asegure de activar Más detalles) y busque el proceso MsMpEngCP.exe, si lo encuentra, la nueva funcionalidad de Windows Defender está trabajando.


Si requiere más información sobre MsMpEngCP.exe, puede usar Process Explorer. El proceso se ejecuta con privilegios bajos, también aprovechan agresivamente todas las políticas de mitigación disponibles para reducir la superficie de ataque.

Para más información, consulte la publicación en el blog de Microsoft Secure, para conocer más a detalle sobre esta implementación.

No hay comentarios:

Publicar un comentario

Pages