Когда антивирус работает против тебя: новый способ взлома Windows за пару кликов

В Windows снова нашли способ получить полный контроль над системой, и на этот раз обошлись без сложных уязвимостей в ядре. Достаточно оказалось странного поведения встроенного антивируса.

Специалист под псевдонимом Chaotic Eclipse выложил в открытый доступ рабочий пример атаки для новой уязвимости нулевого дня в Защитнике Microsoft. Разработку назвали RedSun. За последние две недели автор уже второй раз публикует подобные инструменты, открыто конфликтуя с Microsoft.

Речь идёт о повышении привилегий на локальной машине. Уязвимость позволяет получить права SYSTEM, то есть максимальный уровень доступа в Windows. Атака работает на Windows 10, Windows 11 и Windows Server даже с установленными апрельскими обновлениями, если включён Защитник Microsoft.

Проблема связана с тем, как антивирус обрабатывает файлы с «облачной меткой». В определённых условиях Защитник сам перезаписывает обнаруженный файл в исходное место. Этим и воспользовался автор. Эксплойт подменяет системные файлы и таким образом получает административные права.

Работоспособность атаки подтвердил аналитик уязвимостей Уилл Дорманн. По его словам, эксплойт успешно запускается на полностью обновлённых системах, включая Windows Server 2019 и более новые версии.

Схема атаки выглядит довольно изощрённой. Используется интерфейс облачных файлов, затем в файл записывается тестовая строка EICAR, после чего запускается гонка с теневой копией диска. Через подмену путей файл перенаправляется в каталог system32 и перезаписывает исполняемый файл службы TieringEngineService. В результате система сама запускает подложенный файл с правами SYSTEM. На этом этапе атакующий получает полный контроль.

Часть антивирусов уже распознаёт эксплойт из-за встроенной строки EICAR. Однако автор без труда обошёл систему обнаружения, зашифровав эту строку внутри файла. Подробный технический разбор уязвимости опубликовал специалист под псевдонимом Kevlar.

Неделей ранее Chaotic Eclipse выложил другой эксплойт для Защитника Microsoft, известный как BlueHammer. Уязвимость получила идентификатор CVE-2026-33825, и Microsoft закрыла дыру в рамках апрельского «вторника исправлений».

Сам автор объясняет, что опубликовал оба эксплойта из-за конфликта с Центром реагирования на угрозы безопасности Microsoft. По его словам, взаимодействие с компанией обернулось серьёзными личными проблемами, и таким образом он решил выразить протест. В Microsoft на обвинения ответили сдержанно. В компании заявили, что проверяют все сообщения об уязвимостях и выпускают обновления как можно быстрее, а также поддерживают практику, при которой детали об уязвимостях не раскрывают до выхода исправлений.