Microsoft packt Windows Defender in Sandbox

Mehr Sicherheit für Windows 10: Wie Microsoft in einem Blogpost mitteilt, wird der im Betriebssystem integrierte Windows Defender künftig in einer isolierten Sandbox ausgeführt. Durch diesen Schritt verhindern die Redmonder, dass zielgerichtete Angriffe auf die Antiviren-Lösung das gesamte System in Mitleidenschaft ziehen können.

Microsoft reagiert mit dem neuen Feature auf Feedback von diversen Sicherheitsexperten und Forschern. Diesen sei es gelungen, Schwachstellen in den Inhaltsparsern des Windows Defender auszunutzen, um beliebigen Schadcode im System auszuführen. Diese Lücke hat Microsoft nach eigenen Angaben bereits geschlossen, zu Angriffe in freier Wildbahn sei es nicht gekommen. Mit dem Umzug des Windows Defenders in eine isolierte Umgebung wird nun potenziellen Angreifern der Zugang zum Betriebssystem über den Virenscanner verwehrt. Damit bleibt Windows 10 sicher, selbst wenn der Virenscanner von Schadsoftware befallen ist.

Der Umzug der Antiviren-Lösung in eine Sandbox gestaltete sich, wie Microsoft weiter ausführt, sehr komplex. So musste zunächst herausgearbeitet werden, welche Funktionalitäten der Sicherheitslösung unbedingt auf uneingeschränkten Systemzugriff angewiesen sind und welche sich auch ohne Weiteres in einer isolierten Umgebung ausführen lassen. Dabei sollten die in der Sandbox ausgeführten Funktionen die grösstmögliche Sicherheit gewährleisten, ohne dabei die Performance des Systems negativ zu beeinflussen.

Aktuell wird die Sandbox-Funktion bereits in verschiedenen Insider Preview Builds von Windows 10 getestet, Windows-Anwender ab Build 1703 können das Feature aber ebenfalls freischalten. Hierzu sind lediglich die Kommandozeilen-Eingabe setx /M MP_FORCE_USE_SANDBOX 1 sowie ein anschliessender Neustart erforderlich. Die Nutzung der Sandbox zeigt sich im Task-Manager an dem Prozess MsMpEngCP.exe, der zusammen mit dem eigentlichen Antimalware-Dienst MsMpEng.exe ausgeführt wird.

Fehler in Antiviren-Software können verheerende Auswirkungen auf die gesamte Systemsicherheit haben, da die Programme meist über weitreichende Zugriffsberechtigungen verfügen. Diese Rechte benötigen die Tools, um selbst tief im System verankerte Schadsoftware auszumachen. Dass es allerdings viele Hersteller von Antiviren-Produkten nicht so genau mit der Sicherheit der eigenen Lösungen nehmen, hat das AV-Test-Institut bereits in einer Testreihe aus dem Jahr 2015 ermittelt. Und auch Googles Security-Experte Tavis Ormandy wird immer wieder fündig, wenn es um Sicherheitsmängel bei AVG, Comodo, Trend Micro, Symantec und Co. geht.

Indessen etabliert sich Microsofts Windows Defender kontinuierlich zu einer ganzheitlichen Sicherheitslösung. Während der in Windows 10 integrierte Virenscanner anfangs noch mit einigen Kinderkrankheiten zu kämpfen hatte, positioniert sich die Lösung mittlerweile auf Augenhöhe mit den Tools etablierter Sicherheitsanbieter.