Ваш антивирус подозрительно молчит? Новая техника атаки отключает защиту одной командой

Windows Defender Zero Salarium Two Seven One Three символическая ссылка антивирус обход защиты
Ваш антивирус подозрительно молчит? Новая техника атаки отключает защиту одной командой
Windows Defender Zero Salarium Two Seven One Three символическая ссылка антивирус обход защиты

Как стремление Microsoft к автоматизации открыло дорогу хаосу.

image

Исследователь под псевдонимом Two Seven One Three , ведущий блог на сайте Zero Salarium, представил метод , позволяющий обойти защиту Windows Defender , используя особенности его механизма обновлений. В демонстрации показано, что встроенные средства Windows дают возможность перенаправить рабочую папку антивируса и таким образом получить полный контроль над его процессами.

Рабочие файлы Windows Defender располагаются в каталоге «ProgramData/Microsoft/Windows Defender/Platform[номер версии]». При обновлении служба WinDefend создаёт новую папку с именем, соответствующим актуальной версии, и запускает процессы из неё. Старые экземпляры завершает, а в реестре обновляет конфигурацию на новый путь. Обычно в эти каталоги невозможно что-либо записать, однако оказалось, что администратор может самостоятельно создавать внутри «Platform» новые папки, а также символические ссылки.

Чтобы воспользоваться этим, исследователь сначала скопировал текущую рабочую папку Defender в собственный каталог (например, «C:/TMP/AV»), где получил полный доступ для модификаций. Затем в «Platform» была создана символьная ссылка с названием, указывающим на более высокий номер версии, чем у существующих директорий, и перенаправляющая на новый путь. После перезагрузки Windows служба Defender стала запускаться именно оттуда, а значит — из директории, полностью контролируемой атакующим.

В таком окружении возможны разные сценарии: внедрение библиотек с помощью DLL Sideloading , подмена или удаление исполняемых файлов, а также прямое выведение Defender из строя. Так, в своём эксперименте автор удалил символьную ссылку, из-за чего при следующем запуске система не смогла найти рабочие файлы антивируса. В результате служба WinDefend не активировалась, а страница «Безопасность Windows» показывала, что защита отключена.

Этот пример показывает, что уязвимости в логике обновлений и управлении версиями системных компонентов могут превращаться в серьёзный инструмент для атак. Антивирусы и EDR-решения работают с повышенными привилегиями и защищены драйверами, однако если злоумышленники находят сбой в их механизмах, они способны либо замаскировать вредоносное ПО под доверенный процесс, либо полностью парализовать средства защиты. Таким образом, даже встроенные в Windows инструменты при определённых условиях могут быть использованы против самой системы.