Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Jak ekstremalnie utrudnić dostanie się na Twojego Windowsa poprzez podatności w przeglądarkach? Wbudowany mechanizm w Windows 10.

26 stycznia 2021, 22:03 | Aktualności | komentarze 34

Apropos niedawnej akcji z atakowaniem komputerów badaczy bezpieczeństwa podatnościami 0day (m.in w Chrome), ktoś przypomniał o chyba mało znanej funkcji w Windows 10 (wymagana co najmniej wersja Pro):

Microsoft Defender Application Guard, m.in. pozwala utworzyć w Edge (jest tez stosowny plugin np. do Chrome czy Firefoksa) bardzo mocno izolowane od naszego głównego systemu operacyjnego okno. Separacja ta odbywa się na poziomie sprzętowym:

W polskiej wersji Windowsa wygląda to tak (nie zapomnijcie też doinstalować Hyper-V):

Dalej, jeśli chcemy wejść na potencjalnie podejrzaną stronę, pozostaje już tylko otworzenie specjalnego okienka (Nowe okno Application Guard – z poziomu Edge):

I już możemy się cieszyć mocno odseparowanym od naszego systemu operacyjnego przeglądaniem danej strony:

Czy da się wyskoczyć z takiego środowiska? Teoretycznie (i zapewne nawet praktycznie) – tak. Choć jak wspomina cytowany badacz – wymagałoby to exploitów wartych być może nawet miliony USD (w szczególności chodzi o ominięcie microsoftowej wirtualizacji).

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Userka

    Coś, co w Linuxie jest od dawna i za darmo. Można posłużyć się choćby Dockerem. Jądro jest współdzielone, ale aplikacja jest odizolowana od zasobów komputera. Aplikacje desktopowe działają w kontenerach Dockera. Profil przeglądarki warto zapisać w docker volume.

    Odpowiedz
    • Pasterka

      Ktoś tutaj chyba nie rozumie co to jest doker, do czego służy a co ważne ewidentnie „olewa” dobre praktyki. Wstyd Panie Usterka za szerzenie takich koncepcji.

      Odpowiedz
    • Docker

      To nie to samo, tu jest osobna, izolowana instancja jądra systemu. Docker miewał już podatności typu „escape”. No i, chodzi o wygodę, to opcja w przeglądarce.

      Odpowiedz
    • Pref

      Tylko ze na wyskoczenie z dockera do hosta exploitow bylo juz przynajmniej kilka

      Odpowiedz
    • Nieuser

      I jaki to ma wpływ na artykuł?

      Odpowiedz
    • Userek

      Serio?
      Pokaż jak to się robi kilkoma kliknięciami? 😆

      Odpowiedz
    • m4rc1n

      Weź zaimlementuj rozwiązanie o którym mówisz „przeciętnemu” userowi …
      Tutaj jest opcja w przeglądarce. Bardzo ciekawe rozwiązanie. Fajnie że to wyciągacie :)

      Odpowiedz
  2. bsz

    btw czemu oprócz WDAG instalacja Hyper-V? Samo WDAG nie wystarczy do sandobox-a dla Edge-a?

    Odpowiedz
  3. Leszek

    @Userka Zaskoczę Cię. Ta funkcja też jest za darmo. Jest łatwiejsza do użycia od dockera (możliwa nawet dla zwykłego użytkownika). btw. pewnie będzie to dla Ciebie kolejne zaskoczenie ale docker też jest w Windowsie ;)

    Odpowiedz
  4. Arkadiusz

    Tylko czy przy panującym trendzie uwebowienia wszystkiego trzeba się jeszcze będzie na niego dostawać? Zawsze mogą „ukraść nam cookie z Gmaila”

    Odpowiedz
  5. Tomek

    Osobiście używam do tego celu Windows Sandbox (też win Pro wymagany :( ) z skryptem do autoinstalowania firefox (chrome też działa), bo to jest pełna virtualak widowsa, a nie tylko wirtualizacja części aplikacji, co odnosze wrażenie jest lespze bo w systemie w którym się odpala przeglądarka fizycznie nie ma nic cieawego, a nie tylko część aplikacji jest w jakiś sposób odizolowana, więc żeby obejść guard samego edga wystarczy obejść edga lub ochrone, a tu musze obejść i samą przeglądarke i na dokładke vt-x

    Odpowiedz
    • Można i tak. Choć naszym zdaniem (z * że nie jesteśmy super specami w tym obszarze Windows) – ta wirtualizacja z oknem WDAG jest *pełna* czyli jest to w zasadzie z odpaleniem windowsowego sandboxa i w nim odpalenie Edge. Jak ktoś ma inne info – dajcie znać.

      Odpowiedz
  6. tt

    w windowsach tez sa przeciez dockery

    Odpowiedz
  7. O Qubes os to pewnie żadna z powyższych osób nie czytała. Tam jest izolacja konkretna. Chyba jedyny taki bezpieczny system plus stworzony w zasadzie przez naszą rodaczkę Joannę Rutkowską, która zajmuje się już innym projektem. Jednak Qubes OS ma jedną wadę – nie na każdym sprzęcie da się zainstalować. Na stronie podana jest lista przetestowanych modeli, na których ten system będzie działać.

    Odpowiedz
    • Filip

      Ma tez druga wade – nie jest Windowsem

      Odpowiedz
      • Przemo

        Nie dla każdego to wada :)

        Odpowiedz
      • toko

        Windows też ma jedną poważną wadę – nie jest Linuxem

        Odpowiedz
  8. helmut

    Wszystko fajnie, tylko czy jest sens wydawać kilkaset złotych na aktualizację do Windows Pro? A te oferty na Allegro po kilka PLN są legalne w ogóle?
    Jeśli zostanę przy Windows Home, to skonfigurowanie wbudowanego EMETa (Exploit Protection w Windows Defenderze) będzie dobrym pomysłem?

    Odpowiedz
    • Windows Pro warto choćby ze względu na Bitlockera ;)

      Odpowiedz
      • helmut

        No tak, za Bitlockera w ten sposób zapłacę kilkaset pln. To kolejna słaba rzecz ze strony MS, że w Home tego nie dają :(

        Odpowiedz
        • No to kiepska polityka Microsoftu, jeszcze bardziej słabe jest to że każą płacić za Application Guarda w Office (tego nawet nie ma w licencji Pro). Ale co zrobisz?

          Odpowiedz
      • zero one

        BitLocker powodem do zakupu Pro!?! :-O

        Odpowiedz
    • allegro

      te klucze nie są legit, ale jednocześnie raz zainstalowany system nie przestanie działać. Często pierwszy klucz nie działa, sprzedawca daje drugi i na takim jedziesz już aż do następnej reinstalki ( z 30 takich kluczy do tej pory dalej działa bez problemu 20 )

      Odpowiedz
  9. Mateusz

    Po pierwsze ta funkcja jest baaardzo wolna włącza usługi Hyper-v w tle przez co chwilę trwa zanim przeglądarka włączy się z Guardem. Po drugie praktycznie nieużyteczne do codziennego użytku (brak historii, zakładek, cachu itp). Po trzecie często wysypuje się ten ficzer tym bardziej w nowej wersji Edga. Bardziej jako ciekawostka niż coś co można używać na co dzień.

    Odpowiedz
    • U nas to działa błyskawicznie. Kwestia sprzętu :) Do standardowego przeglądania pewnie się nie nadaje. Ale do wyjątkowego przeglądania – na zasadzie, „o, wchodzę na potencjalnie podejrzaną stronę” – tak.

      Odpowiedz
  10. CORE

    U mnie strona ładuje się raz na dziesięć prób. W pozostałych przypadkach mam timeout. Ale może wina leciwego sprzętu – i7 3770k, 16gb ram

    Odpowiedz
  11. wsumie...

    Jej..a nie latwiej miec osobny komp z live linuxem?
    Wejdzie wszedzie i zawsze..bez kombinowania..albo chodzby virtualboxa..wiem ze to nie taka wygoda ale..robi to samo.

    Odpowiedz
    • huggarn

      no to jest łatwiej czy mniej wygodnie? dwa przeciwstawne twierdzenia w jednym zdaniu
      już osobny komp czy live linux to kupa kombinowania w porównaniu do funkcji w przeglądarce lol

      Odpowiedz
  12. Imię

    „jest też stosowny plugin np. do Chrome czy Firefoksa” — jest, ale otwiera Edge’a, nie Chrome’a czy Firefoksa!

    Odpowiedz
  13. rysic

    Pojawiła mi się opcja w Edge, ale po kliknięciu „Nowe okno Application Guard” nic się nie dzieje :-/

    Odpowiedz
  14. Waldemar

    Mimo że mam Windows 10 Pro (21H2), aktywowałem Hyper-V oraz MDAG, to nie widzę opcji w Edge…

    Odpowiedz

Odpowiedz