Исследователь под ником Two Seven One Three показал, как встроенные механизмы Windows Defender могут обернуться против самой системы.
Эксперимент продемонстрировал, что благодаря особенностям обновлений антивируса возможно перенаправить его рабочую папку и получить полный контроль над процессами безопасности.
Windows Defender хранит рабочие файлы в каталоге ProgramData/Microsoft/Windows Defender/Platform[версия]. При обновлении создаётся новая папка с номером версии, куда система переключает запуск процессов. Обычно такие каталоги защищены, но оказалось, что администратор может создавать внутри «Platform» собственные папки и символические ссылки.
Используя эту возможность, исследователь скопировал текущую версию Defender в доступный каталог, создал символьную ссылку на «новую» версию и после перезагрузки заставил систему запускать антивирус уже из подконтрольной директории. В такой среде можно внедрять DLL-библиотеки, подменять файлы или вовсе вывести антивирус из строя. В демонстрации достаточно было удалить созданную ссылку — и Windows Defender перестал запускаться, отображая в интерфейсе, что защита отключена.
Эксперты отмечают, что уязвимость связана не с конкретным багом, а с логикой обновлений и управлением версиями. Ошибки в таких механизмах особенно опасны: антивирусы и EDR-решения работают с повышенными привилегиями, а значит их компрометация открывает атакующим путь к скрытной установке вредоносного ПО или полному обесточиванию защиты системы.
Эксперимент продемонстрировал, что благодаря особенностям обновлений антивируса возможно перенаправить его рабочую папку и получить полный контроль над процессами безопасности.
Windows Defender хранит рабочие файлы в каталоге ProgramData/Microsoft/Windows Defender/Platform[версия]. При обновлении создаётся новая папка с номером версии, куда система переключает запуск процессов. Обычно такие каталоги защищены, но оказалось, что администратор может создавать внутри «Platform» собственные папки и символические ссылки.
Используя эту возможность, исследователь скопировал текущую версию Defender в доступный каталог, создал символьную ссылку на «новую» версию и после перезагрузки заставил систему запускать антивирус уже из подконтрольной директории. В такой среде можно внедрять DLL-библиотеки, подменять файлы или вовсе вывести антивирус из строя. В демонстрации достаточно было удалить созданную ссылку — и Windows Defender перестал запускаться, отображая в интерфейсе, что защита отключена.
Эксперты отмечают, что уязвимость связана не с конкретным багом, а с логикой обновлений и управлением версиями. Ошибки в таких механизмах особенно опасны: антивирусы и EDR-решения работают с повышенными привилегиями, а значит их компрометация открывает атакующим путь к скрытной установке вредоносного ПО или полному обесточиванию защиты системы.
