ข้อมูลที่ถูกพบล่าสุดแสดงให้เห็นว่าผู้โจมตีสามารถใช้ประโยชน์จากเทคนิคการหลบเลี่ยงการตรวจจับมัลเเวร์ และ bypass endpoint security solutions โดยการปรับเเต่ง Windows Container Isolation Framework

การค้นพบนี้ถูกนำเสนอโดย Daniel Avinoam นักวิจัยด้านความปลอดภัยของ Deep Instinct ในการประชุมด้านความปลอดภัย DEF CON ที่จัดขึ้นเมื่อต้นเดือนที่ผ่านมา

โครงสร้างของ Microsoft container (และที่เกี่ยวข้องกับ Windows Sandbox) ใช้สิ่งที่เรียกว่า dynamically generated image เพื่อแยก file system ของแต่ละ container ไปยังโฮสต์ และในเวลาเดียวกันจะหลีกเลี่ยงการทำซ้ำของ file system

โดยมันเป็นเพียง "operating system image ที่มี clean copies ของไฟล์ที่สามารถเปลี่ยนแปลงได้ แต่เป็นลิงก์ไปยังไฟล์ที่ไม่สามารถเปลี่ยนแปลงได้ซึ่งอยู่ในอิมเมจ Windows ที่มีอยู่แล้วบนโฮสต์" จึงทำให้ขนาดโดยรวมของระบบปฏิบัติการเต็มลดลง

Avinoam ระบุในรายงานที่แชร์กับ The Hacker News ว่า "ผลลัพธ์ที่ได้คือ images ที่มี 'ghost files' ซึ่งไม่ได้เก็บข้อมูลจริง แต่จะชี้ไปยัง volume ที่แตกต่างกันของระบบ" ในจุดนี้จึงทำให้เกิดความคิดว่า จะเป็นอย่างไรถ้าสามารถใช้ redirection mechanism เพื่อซ่อนรายละเอียดกับ file system operation และทำให้เครื่องมือด้านความปลอดภัยไม่สามารถตรวจจับได้

นี่คือจุดที่ไดรเวอร์ minifilter ของ Windows Container Isolation FS (wcifs.