Meestal baren de patches die een softwareleverancier als Microsoft distribueert weinig opzien. Onlangs echter viel het herstellen van een zwakke plek in de App Container van Windows 8 op. De patch, MS13-005, had betrekking op dit nieuwe beveiligingsmechanisme van het besturingssysteem. App Containers zijn Microsofts implementatie van het sandbox-beveiligingsconcept.
De sandbox is een extra beveiligingsoptie voor besturingssystemen. Deze systemen bieden mogelijkheden voor onder meer het lezen en schrijven van bestanden, het creëren van processen, het tot stand brengen van een netwerkverbinding en het toegang verkrijgen tot webcams. Dit terwijl het grootste deel van de gebruikersprogramma’s slechts een klein aantal van die functionaliteit nodig heeft. Een programma dat bijvoorbeeld PDF-bestanden weergeeft op een scherm, heeft geen procescreatie, netwerkconnectie of webcam nodig. Maar toch schermt het besturingssysteem het programma er niet voor af, maar geeft vrije toegang. Malware-schrijvers maken misbruik van die vrijheid, ze onderzoeken het programma tot ze een zwakke plek vinden die hen hun eigen code laat draaien en installeren deze dan zelf op het systeem. Zo creëren ze nieuwe processen die zoeken naar vertrouwelijke informatie op de harde schijf en brengen een netwerkverbinding tot stand om deze data weg te sluizen.
Het doel van de sandbox is om bepaalde acties voor een programma te verbieden. Programma’s die werken onder dit protocol laten weten welke mogelijkheden ze nodig hebben van een besturingssysteem en hebben dus geen toegang tot de andere functionaliteit. Als de malware-auteur in het bovenstaande PDF-voorbeeld een probleem ontdekt in het PDF-programma, is hij nog steeds niet in staat om een aanvalcode te schrijven om de schijf aan te vallen en een netwerkverbinding tot stand te brengen, simpelweg omdat de sandbox het niet toestaat. Om succesvol te zijn, moet de malware-schrijver een nieuwe zwakke plek vinden in de sandbox-code en beide zwakheden verbinden. Dat is veel lastiger dan er maar eentje te hoeven traceren.
Sandbox-concepten bestaan al een tijdje, maar werden pas echt populair door de iPhone en zijn uitstekende beveiligingsreputatie. Applicaties voor de iPhone moeten van sandbox gebruik maken, om überhaupt in de App Store terecht te kunnen komen. Net als voor Googles besturingssysteem Android en de Play Store. Google Chrome was de eerste webbrowser die het sandboxprincipe implementeerde, zodat het op een effectieve manier browser-plug-ins kon isoleren en het programma immuun maakte voor plug-in-aanvallen. Vorig jaar kon Adobe gebruikers vertellen dat zij met de voor sandbox geoptimaliseerde Adobe Reader X beschermd waren tegen een aantal zeer kritische zwakheden, die nog wel in Adobe Reader 9 aanwezig waren.
Met Windows 8 komt de sandbox nu ook naar de wereld van Windows. Metro-apps voor de Windows App Store moeten het sandbox protocol gebruiken om in de store geaccepteerd te worden en dit zal zorgen voor een veiliger Windows, net als dit voor iPhone-platform gebeurde. MS13-005 is een voorbeeld van een beveiligingszwakte die ook in de nieuwe beveiligingscodes zit en het is goed om te zien dat onderzoekers zich nu richten op deze nieuwe technologie.
Wolfgang Kandek, CTO Qualys
