Jak ekstremalnie utrudnić dostanie się na Twojego Windowsa poprzez podatności w przeglądarkach? Wbudowany mechanizm w Windows 10.

26 stycznia 2021, 22:03 | Aktualności | komentarzy 25
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Apropos niedawnej akcji z atakowaniem komputerów badaczy bezpieczeństwa podatnościami 0day (m.in w Chrome), ktoś przypomniał o chyba mało znanej funkcji w Windows 10 (wymagana co najmniej wersja Pro):

Microsoft Defender Application Guard, m.in. pozwala utworzyć w Edge (jest tez stosowny plugin np. do Chrome czy Firefoksa) bardzo mocno izolowane od naszego głównego systemu operacyjnego okno. Separacja ta odbywa się na poziomie sprzętowym:

W polskiej wersji Windowsa wygląda to tak (nie zapomnijcie też doinstalować Hyper-V):

Dalej, jeśli chcemy wejść na potencjalnie podejrzaną stronę, pozostaje już tylko otworzenie specjalnego okienka (Nowe okno Application Guard – z poziomu Edge):

I już możemy się cieszyć mocno odseparowanym od naszego systemu operacyjnego przeglądaniem danej strony:

Czy da się wyskoczyć z takiego środowiska? Teoretycznie (i zapewne nawet praktycznie) – tak. Choć jak wspomina cytowany badacz – wymagałoby to exploitów wartych być może nawet miliony USD (w szczególności chodzi o ominięcie microsoftowej wirtualizacji).

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Userka

    Coś, co w Linuxie jest od dawna i za darmo. Można posłużyć się choćby Dockerem. Jądro jest współdzielone, ale aplikacja jest odizolowana od zasobów komputera. Aplikacje desktopowe działają w kontenerach Dockera. Profil przeglądarki warto zapisać w docker volume.

    Odpowiedz
    • Pasterka

      Ktoś tutaj chyba nie rozumie co to jest doker, do czego służy a co ważne ewidentnie „olewa” dobre praktyki. Wstyd Panie Usterka za szerzenie takich koncepcji.

      Odpowiedz
    • Docker

      To nie to samo, tu jest osobna, izolowana instancja jądra systemu. Docker miewał już podatności typu „escape”. No i, chodzi o wygodę, to opcja w przeglądarce.

      Odpowiedz
    • Pref

      Tylko ze na wyskoczenie z dockera do hosta exploitow bylo juz przynajmniej kilka

      Odpowiedz
    • Nieuser

      I jaki to ma wpływ na artykuł?

      Odpowiedz
    • Userek

      Serio?
      Pokaż jak to się robi kilkoma kliknięciami? 😆

      Odpowiedz
  2. bsz

    btw czemu oprócz WDAG instalacja Hyper-V? Samo WDAG nie wystarczy do sandobox-a dla Edge-a?

    Odpowiedz
    • Tak na szybko to w naszych testach, bez instalacji Hyper-V (a przy instalacji WDAG) nie pojawiała się w Edge ta opcja z osobnym oknem AG.

      Odpowiedz
      • bsz

        Ja od jakiegoś czasu używam nowego Edge (Chromium) z WDAG i działa bez Hyper-V. Może to kwestia restartu OS po włączeniu WDAG?
        Jeszcze parę miesięcy temu po każdej aktualizacji Edge-a wysypywał się ten WDAG i pomagało wyłączenie i włączenie go ponownie.

        Odpowiedz
  3. Leszek

    @Userka Zaskoczę Cię. Ta funkcja też jest za darmo. Jest łatwiejsza do użycia od dockera (możliwa nawet dla zwykłego użytkownika). btw. pewnie będzie to dla Ciebie kolejne zaskoczenie ale docker też jest w Windowsie ;)

    Odpowiedz
  4. Arkadiusz

    Tylko czy przy panującym trendzie uwebowienia wszystkiego trzeba się jeszcze będzie na niego dostawać? Zawsze mogą „ukraść nam cookie z Gmaila”

    Odpowiedz
  5. Tomek

    Osobiście używam do tego celu Windows Sandbox (też win Pro wymagany :( ) z skryptem do autoinstalowania firefox (chrome też działa), bo to jest pełna virtualak widowsa, a nie tylko wirtualizacja części aplikacji, co odnosze wrażenie jest lespze bo w systemie w którym się odpala przeglądarka fizycznie nie ma nic cieawego, a nie tylko część aplikacji jest w jakiś sposób odizolowana, więc żeby obejść guard samego edga wystarczy obejść edga lub ochrone, a tu musze obejść i samą przeglądarke i na dokładke vt-x

    Odpowiedz
    • Można i tak. Choć naszym zdaniem (z * że nie jesteśmy super specami w tym obszarze Windows) – ta wirtualizacja z oknem WDAG jest *pełna* czyli jest to w zasadzie z odpaleniem windowsowego sandboxa i w nim odpalenie Edge. Jak ktoś ma inne info – dajcie znać.

      Odpowiedz
  6. tt

    w windowsach tez sa przeciez dockery

    Odpowiedz
  7. O Qubes os to pewnie żadna z powyższych osób nie czytała. Tam jest izolacja konkretna. Chyba jedyny taki bezpieczny system plus stworzony w zasadzie przez naszą rodaczkę Joannę Rutkowską, która zajmuje się już innym projektem. Jednak Qubes OS ma jedną wadę – nie na każdym sprzęcie da się zainstalować. Na stronie podana jest lista przetestowanych modeli, na których ten system będzie działać.

    Odpowiedz
    • Filip

      Ma tez druga wade – nie jest Windowsem

      Odpowiedz
      • Przemo

        Nie dla każdego to wada :)

        Odpowiedz
  8. helmut

    Wszystko fajnie, tylko czy jest sens wydawać kilkaset złotych na aktualizację do Windows Pro? A te oferty na Allegro po kilka PLN są legalne w ogóle?
    Jeśli zostanę przy Windows Home, to skonfigurowanie wbudowanego EMETa (Exploit Protection w Windows Defenderze) będzie dobrym pomysłem?

    Odpowiedz
    • Windows Pro warto choćby ze względu na Bitlockera ;)

      Odpowiedz
      • helmut

        No tak, za Bitlockera w ten sposób zapłacę kilkaset pln. To kolejna słaba rzecz ze strony MS, że w Home tego nie dają :(

        Odpowiedz
        • No to kiepska polityka Microsoftu, jeszcze bardziej słabe jest to że każą płacić za Application Guarda w Office (tego nawet nie ma w licencji Pro). Ale co zrobisz?

          Odpowiedz
      • zero one

        BitLocker powodem do zakupu Pro!?! :-O

        Odpowiedz
  9. Mateusz

    Po pierwsze ta funkcja jest baaardzo wolna włącza usługi Hyper-v w tle przez co chwilę trwa zanim przeglądarka włączy się z Guardem. Po drugie praktycznie nieużyteczne do codziennego użytku (brak historii, zakładek, cachu itp). Po trzecie często wysypuje się ten ficzer tym bardziej w nowej wersji Edga. Bardziej jako ciekawostka niż coś co można używać na co dzień.

    Odpowiedz
    • U nas to działa błyskawicznie. Kwestia sprzętu :) Do standardowego przeglądania pewnie się nie nadaje. Ale do wyjątkowego przeglądania – na zasadzie, „o, wchodzę na potencjalnie podejrzaną stronę” – tak.

      Odpowiedz
  10. CORE

    U mnie strona ładuje się raz na dziesięć prób. W pozostałych przypadkach mam timeout. Ale może wina leciwego sprzętu – i7 3770k, 16gb ram

    Odpowiedz

Odpowiedz na Przemo