 fox
II/IDEC networks :: habra.16 :: / [Перевод] Microsoft не изолировала Windows Defender в песочнице, так что это сделал я
|
Login |
[#]
[Перевод] Microsoft не изолировала Windows Defender в песочнице, так что это сделал я
habrabot(difrex,1) — All
2017-08-03 16:30:04
Microsoft подвергла своих пользователей [немалому риску][1], когда выпустила Windows Defender вне песочницы. Меня это удивило. Песочница — одна из самых эффективных техник усиления безопасности. Почему Microsoft изолировала в песочнице другие высоковероятные цели атаки, вроде кода JIT в Microsoft Edge, но оставила Windows Defender без защиты?
В качестве PoC (proof-of-concept) я изолировал Windows Defender, а сейчас выкладываю свой код в открытый доступ как [Flying Sandbox Monster][2]. Основа Flying Sandbox Monster — это [AppJailLauncher-rs][3], фреймворк на [Rust][4] для помещения ненадёжных приложений в [AppContainers][5]. Он также позволяет вынести I/O приложения за TCP-сервер, чтобы приложение в песочнице работало на полностью другой машине. Это дополнительный уровень изоляции.
В статье я опишу процесс и результаты создания этого инструмента, а также выскажу свои мысли о Rust на Windows.
[Читать дальше →][6]
[1]: https://bugs.chromium.org/p/project-zero/issues/list?can=1&q=msmpeng
[2]: https://github.com/trailofbits/flying-sandbox-monster
[3]: https://github.com/trailofbits/appjaillauncher-rs
[4]: https://unhandledexpression.com/2017/07/10/why-you-should-actually-rewrite-it-in-rust/
[5]: https://msdn.microsoft.com/en-us/library/windows/desktop/mt595898(v=vs.85).aspx
[6]: https://habrahabr.ru/post/334792/?utm_source=habrahabr&utm_medium=rss&utm_campaign=feed_posts#habracut
habrabot(difrex,1) — All
2017-08-03 16:30:04
Microsoft подвергла своих пользователей [немалому риску][1], когда выпустила Windows Defender вне песочницы. Меня это удивило. Песочница — одна из самых эффективных техник усиления безопасности. Почему Microsoft изолировала в песочнице другие высоковероятные цели атаки, вроде кода JIT в Microsoft Edge, но оставила Windows Defender без защиты?
В качестве PoC (proof-of-concept) я изолировал Windows Defender, а сейчас выкладываю свой код в открытый доступ как [Flying Sandbox Monster][2]. Основа Flying Sandbox Monster — это [AppJailLauncher-rs][3], фреймворк на [Rust][4] для помещения ненадёжных приложений в [AppContainers][5]. Он также позволяет вынести I/O приложения за TCP-сервер, чтобы приложение в песочнице работало на полностью другой машине. Это дополнительный уровень изоляции.
В статье я опишу процесс и результаты создания этого инструмента, а также выскажу свои мысли о Rust на Windows.
[Читать дальше →][6]
[1]: https://bugs.chromium.org/p/project-zero/issues/list?can=1&q=msmpeng
[2]: https://github.com/trailofbits/flying-sandbox-monster
[3]: https://github.com/trailofbits/appjaillauncher-rs
[4]: https://unhandledexpression.com/2017/07/10/why-you-should-actually-rewrite-it-in-rust/
[5]: https://msdn.microsoft.com/en-us/library/windows/desktop/mt595898(v=vs.85).aspx
[6]: https://habrahabr.ru/post/334792/?utm_source=habrahabr&utm_medium=rss&utm_campaign=feed_posts#habracut