A Microsoft revelou um novo recurso de segurança em maio para o Windows 11, que permitiria que os aplicativos do Windows fossem executados em ambientes isolados de sandbox para maior segurança. Agora sabemos um pouco mais sobre como isso vai funcionar.
A Microsoft iniciou a visualização pública do “isolamento de aplicativo Win32”, que se destina a fornecer uma camada de proteção contra vulnerabilidades de dia zero e outros recursos de segurança em potencial. A Microsoft explicou em uma postagem no blog: “O isolamento do aplicativo Win32 atinge seu objetivo de limitar o impacto (no caso de os aplicativos serem comprometidos) executando aplicativos com baixo privilégio, o que requer um ataque em várias etapas para sair do contêiner. Os invasores devem visar uma capacidade ou vulnerabilidade específica, em comparação com o acesso amplo e, como o ataque deve ser direcionado a uma vulnerabilidade específica, os patches de mitigação podem ser aplicados rapidamente, reduzindo a vida útil do ataque.”
O isolamento de aplicativos é muito parecido com os aplicativos Snap ou Flatpak no Linux de desktop e, até certo ponto, a estrutura de permissões padrão no macOS. Os aplicativos podem começar com algumas permissões quando são instalados e podem solicitar mais conforme necessário. O acesso à câmera, microfone, localização, imagens, arquivos e pastas é bloqueado sem a permissão do usuário. Aplicativos isolados também têm acesso limitado ao Registro do Windows. Os aplicativos podem solicitar permissão para arquivos e pastas específicos e, se o usuário conceder acesso, os arquivos serão fornecidos por meio de um sistema de arquivos em área restrita chamado Windows Brokering File System (BFS).
Tudo isso parece ótimo, pois existem muitos aplicativos que não precisam de acesso total ao seu PC, e bloqueá-los de permissões desnecessárias melhoraria a privacidade e a segurança. No entanto, a Microsoft deixou claro que isso não será ativado automaticamente para todos os softwares. Esta é uma medida opcional que requer algumas modificações do desenvolvedor do aplicativo — ao contrário dos aplicativos no macOS, que forçam um modelo de permissões para acesso a arquivos e outras funções para todos os softwares.
A Microsoft vem construindo indicadores melhores para aplicativos que usam dados confidenciais, como os ícones de status de câmera e VPN no Windows 11, mas seria bom ver o isolamento de aplicativos ativado em todos os níveis. Isso pode não ser possível com a estrutura atual do Windows – especialmente quando manter a compatibilidade com software de décadas é um requisito para clientes corporativos.
Fonte: Blog do Windows
0 Comments