Windows Defender Antivirus ahora puede ejecutarse dentro de un recinto de seguridad en Windows 10, versión 1703 o posterior, lo que la convierte en la primera solución antimalware para Windows capaz de tal hazaña. Al colocar Windows Defender Antivirus dentro de un recinto de seguridad, Microsoft ha dificultado mucho que los desarrolladores de malware obtengan acceso a los módulos críticos del sistema, ya que los programas están aislados por completo del resto del sistema, ya que tienen acceso muy limitado a la memoria y al disco. Habilitar un entorno de ejecución de procesos restringidos para ejecutar Windows Defender Antivirus es una decisión que toma Microsoft después de recibir una gran cantidad de comentarios de los investigadores de seguridad que marcaron la solución antivirus de alto privilegio como un vector de ataque de alto riesgo.
Windows Defender Antivirus usa altos privilegios para poder monitorizar y eliminar continuamente los ataques maliciosos, lo que lo convierte en el objetivo perfecto para los atacantes que desean una forma sencilla de desencadenar una condición de escalada de privilegios.
El sandbox de Windows Defender Antivirus evitará que los atacantes utilicen exploits para comprometer el sistema operativo
Al implementar el soporte para ejecutar en un recinto de seguridad en la solución antivirus predeterminada de Windows, Microsoft quiere asegurarse de que los hackers que logran explotar las vulnerabilidades de Windows Defender Antivirus para establecer condiciones de ejecución de código arbitrario no puedan ejecutar herramientas malintencionadas con altos privilegios.
“La ejecución de Windows Defender Antivirus en una sandbox garantiza que, en el improbable caso de un compromiso, las acciones maliciosas se limiten al entorno aislado, protegiendo al resto del sistema de cualquier daño”, dijo Microsoft. “Esto forma parte de la inversión continua de Microsoft para mantenerse a la vanguardia de los atacantes a través de innovaciones de seguridad. Windows Defender Antivirus y el resto de la pila de Windows Defender ATP ahora se integran con otros componentes de seguridad de Microsoft 365 para formar Microsoft Threat Protection”.
A pesar de que Microsoft solo está implementando la función de recinto de seguridad de Windows Defender Antivirus para usuarios internos de Windows, todos los demás usuarios de Windows 10 pueden habilitarla en sus ordenadores siempre que estén dispuestos a iniciar la línea de comandos usando los privilegios de administrador y escribir el siguiente comando:
setx / M MP_FORCE_USE_SANDBOX 1
Además de la nueva función de sandbox, Microsoft también implementó una serie de otras medidas para asegurarse de que los usuarios de Windows estén protegidos contra posibles ataques de seguridad, que van desde la protección de la red y la explotación hasta el aislamiento basado en hardware y el acceso controlado a las carpetas.