Microsoft packt verdächtige Dokumente in die Sandbox

Eine Vielzahl von Angriffen auf Unternehmen erfolgt immer noch ganz klassisch über manipulierte Dokumente im E-Mail-Anhang. Beim Öffnen dieser Dateien wird dann über die Makro-Funktionen in Word, Excel und Co. der eigentliche Schadcode auf das System gebracht. Dieser Praxis will Microsoft nun einen Riegel vorschieben und setzt dabei auf das bereits etablierte Sandboxing-Prinzip.

Hierzu wird der Schutzumfang des "Microsoft Defender Application Guards", der bislang Browser-Sitzungen in Firefox, Chrome und Edge absichert, künftig auf Office 365 ausgeweitet. Die Technologie führt Programminstanzen in einer abgeschotteten Container-Umgebung mittels Hyper-V aus. Sollte ein verdächtiges Dokument tatsächlich mit Schadsoftware verseucht sein, kann die Malware lediglich innerhalb der virtuellen Maschine ihr Unwesen treiben. Der darunterliegende Host bleibt von dem Angriff indessen unberührt.

Die Bearbeitung der Dokumente soll auch in der virtualisierten Umgebung ohne wesentliche Einschränkungen möglich sein. So lassen sich Textdateien, Tabellen und Präsentationen wie gewohnt editieren, speichern und auch drucken. Der Application Guard erstellt für jedes verdächtige Dokument eine neue Sandbox, so steht stets eine unbefleckte Umgebung zum Arbeiten bereit.

Office-Anwender können zudem Dokumente, die sich als harmlos herausgestellt haben, als vertrauenswürdige Dateien markieren. Im Anschluss überprüft die Sicherheitslösung das Dokument noch einmal in der Cloud, um Irrtümer auszuschließen. Stellt "Microsoft Defender ATP" dabei kein auffälliges Verhalten fest, wird die Datei final freigeschaltet.

Aktuell befindet sich der Application Guard für Office noch in der Entwicklung. Interessierte Unternehmen können sich allerdings um einen Zugang zur limitierten Vorschauversion bewerben.

Daneben haben die Redmonder auch an der Leistungsfähigkeit von Microsoft Defender ATP selbst geschraubt. Im Zusammenspiel mit der Lösung "Cloud App Security" erkennen Sicherheitsverantwortliche mit nur einem Klick, welche Online-Tools die Mitarbeiter einsetzen und welche davon eine potenzielle Bedrohung für die Unternehmens-IT darstellen. Den Zugang zu riskanten Web-Apps kann die Lösung in der Folge direkt blockieren. Darauf hin gilt es den betreffenden Mitarbeiter über die Gefahren der eingesetzten Schatten-IT aufzuklären.

Diese und viele weitere Sicherheitslösungen hat Microsoft im Rahmen seiner Ignite-Konferenz vorgestellt. Ein Überblick zu allen Neuerungen findet sich auf dem Security-Blog des Unternehmens.