Antivirus-program exekveras av naturliga skäl på en hög privilegienivå. Annars kan de inte kontrollera andra, potentiellt skadliga, processer. Risken finns dock att antivirusprogrammet i sig kan ha en sårbarhet som en angripare kan utnyttja. Om så sker är hela systemet öppet för attacker.

Det har därför länge varit en dröm att kunna exekvera antivirusprogram i en egen skyddad miljö inom operativsystemet, en så kallad sandbox, en virtuell behållare med ”vattentäta skott”. Sandlådor i sig är inget nytt, utan är tvärtom en självklarhet inom virtualisering, till exempel virtuella klienter som hålls åtskilda utan att kunna störa eller på ett otillbörligt sätt påverka varandra, trots att de körs på samma serveroperativ.

Haken med att köra antivirus i en sandlåda stavas prestanda. Antivirus-programmet måste kunna hålla jämna steg med de andra program den ska övervaka, annars blir hela systemet slött. Microsoft har nu som första företag lyckats utveckla ett antivirussystem som kör i en sandlåda utan att nämnvärt försämra prestanda, skriver TechTarget.

Enligt Microsoft har det varit ett återkommande önskemål från kunderna att kunna flytta Windows Defender till en sandlåda för att skydda antiviruset ifall systemet skulle komprometteras. I en bloggpost skriver Microsoft att säkerhetsforskare både inom och utanför företaget har upptäckt en sårbarhet i Windows Defender, men som de tror inte gett upphov till attacker i det vilda.

För att skydda Windows Defender mot denna, och potentiellt andra sårbarheter, har alltså microsoft utvecklat en sandlåda åt antivirussystemet. För att komma runt prestandaproblemet har Microsoft ”minimerat antalet interaktioner mellan sandlådan och de privilegierade processerna, och på samma gång se till att dessa interaktioner endast sker vid speciella tillfällen när deras påverkan på prestanda inte är kännbar, till exempel i samband med I/O-operationer”, skriver Mady Marinescu, en av utvecklarna inom Windows Defender Engineering.

Microsoft har är än så länge försiktiga med att rulla ut sandlådan till större grupper användare, utan har endast släppt ut den till en mindre grupp inom Windows Insiders. När produkten skulle kunna släppas till en bredare publik är i dagsläget okänt.

Det har dock inte dröjt länge innan en mindre bugg upptäckts i sandlådan. Buggen är inte allvarlig, men något störande. För att aktivera Windows Defender i sandlådeläge måste systemadministratören skapa systemvariabeln MP_FORCE_USE_SANDBOX och sätta den till 1. Och starta om datorn. Obs - starta om datorn. Om datorn stängs av helt, och startas igen aktiveras inte systemvariablen och Windows Defender körs inte i sandlådeläge efter uppstart. Tyvärr verkar det som att läget är aktiverat, utan att vara det, skriver Bleeping Computer.

De som vill kontrollera att sandlådeläget faktiskt är aktiverat kan använda Process Exploerer och kolla att processen MsMpEngCP.exe, en sub-process till MsMpEng.exe, faktiskt körs.

Enligt Bleeping Computer har Microsoft meddelat att en bugfix är på väg och kommer med nästa uppdatering.

Läs mer:
Nya hotet mot din dator – så skyddar du dig mot ransomware
Buggar försenar nya versionen av Windows 10