Η Microsoft ανακοίνωσε το Windows Defender Application Guard

Η Microsoft έρχεται να προσθέσει ένα επιπλέον επίπεδο ασφαλείας στον Edge browser, ανακοινώνοντας ότι μετά την επόμενη σημαντική αναβάθμιση των Windows 10, ο Edge θα τρέχει εντός ενός ελαφριού virtual machine. Με αυτό τον τρόπο θα είναι πιο δύσκολο για κάποιον να εκμεταλλευτεί τυχόν κενά ασφαλείας του Edge ώστε να αποκτήσει πρόσβαση στο σύστημα του χρήστη ή να υποκλέψει προσωπικά δεδομένα αυτού.

Το νέο αυτό χαρακτηριστικό ασφαλείας ονομάζεται Windows Defender Application Guard για τον Microsoft Edge και στηρίζεται στο σύστημα ασφαλείας Virtualization Based Security (VBS) των Windows 10 και τον Hyper-V hypervisor της Microsoft που χρησιμοποιείται για την απομόνωση συγκεκριμένων κρίσιμων δεδομένων και διαδικασιών από το υπόλοιπο σύστημα, τοποθετώντας τα σε ένα virtual machine. Το σημαντικότερο από αυτά τα virtual machines είναι ο Credential Guard που αναλαμβάνει την φύλαξη των κωδικών. Με αυτό το τρόπο δεν επιτρέπονται σε εργαλεία όπως το MimiKatz να υποκλέψουν δεδομένα και να επιτρέψουν σε hackers να παραβιάσουν το σύστημα, αλλά και άλλα συστήματα που είναι συνδεδεμένα σε ένα δίκτυο και χρησιμοποιούν πιθανόν τους ίδιους κωδικούς εισόδου.

Ο Edge ήδη διαθέτει την δυνατότητα δημιουργίας ενός ασφαλούς sandbox περιβάλλοντος για τις διεργασίες του, αποτρέποντας σε malwares να κάνουν σημαντική ζημιά στο σύστημα, αλλά δεν αποτρέπει στους επιτιθέμενους στο σύστημα την δυνατότητα να προσπαθήσουν να εκμεταλλευτούν τυχόν άλλες αδυναμίες του λειτουργικού και να ξεφύγουν από τους περιορισμούς του sandbox.

Ο Application Guard έρχεται να προστεθεί στον Credential Guard, αναλαμβάνοντας να τρέξει το μεγαλύτερο μέρος του Edge browser εντός του virtual machine που δημιουργεί. Ο Application Guard χρησιμοποιεί μόνο ελάχιστα χαρακτηριστικά των Windows, τα απολύτως απαραίτητα για να τρέξει ο Edge και δεν αποτελεί ένα πλήρες virtual machine ενός πλήρους λειτουργικού. Αυτό επιτρέπει ένα υψηλότερο επίπεδο ασφαλείας με τον Edge να μην έχει πρόσβαση στο κύριο σύστημα, να μην μπορεί να δει άλλες διεργασίες, να προσπελάσει τοπικά αποθηκευτικά μέσα, να δει τα αρχεία άλλων εφαρμογών και κυρίως να επιτρέψει μια επίθεση στον kernel του λειτουργικού.

Αρχικά ο Application Guard θα λειτουργεί μόνο με τον Edge και μόνο στα Windows 10 Enterprise με διαχειριστικό έλεγχο, δίνοντας την δυνατότητα στους διαχειριστές να σημειώσουν κάποια sites ως ασφαλή, αλλά και να επιλέξουν το αν θα παρέχεται η δυνατότητα χρήσης του clipboard και η δυνατότητα εκτύπωσης. Η Microsoft δεν σκοπεύει να παρέχει κάποιο API ή να δώσει σε άλλες εφαρμογές την δυνατότητα να τον αξιοποιήσουν και επειδή κάτι τέτοιο θα μπορούσε να έχει παρενέργειες σε περιβάλλον απλού χρήστη και για λόγους συμβατότητας με το hardware πολλών χρηστών, αλλά και επειδή μπορεί να υπάρξει μόνο ένας hypervisor στο σύστημα. Προγράμματα όπως το Bluestacks χρησιμοποιούν virtualization και αυτό θα μπορούσε να δημιουργήσει πρόβλημα. Επιπλέον, με τον Edge να τρέχει σε ένα virtual machine, αναμένεται να υπάρχει και κάποια μείωση στις επιδόσεις του.

Ο Application Guard θα είναι διαθέσιμος αργότερα για τους insiders, με μια σταθερή έκδοση να αναμένεται εντός του 2017.