Две новости появились почти одновременно

Две новости появились почти одновременно. Первая - Microsoft считает, что Defender отличный антивирус и обычному пользователю другие не нужны. Другая - в Defender нашли целую пачку дыр (или бэкдоров?), которые Майкрософт не спешит исправлять.

На фоне того, что Майкрософт уже длительное время игнорирует багрепорты от одного исследователя безопасности, он решил выложить в сеть сразу три эксплойта, нацеленных на "единственный, нужный вам антивирус", и скоро обещает выложить еще один.

• BlueHammer, позволяющий повысить права пользователя (уже пропатчен в CVE-2026-33825).

• UnDefend - эксплойт, который навсегда ломает механизм обновления Windows Defender.

• RedSun - самый опасный, пока что непропатченный, 0-day, который уже прямо сейчас активно эксплуатируют кибернедоброжелатели.

Когда Defender, работающий с наивысшими правами SYSTEM, находит подозрительный файл с облачной меткой, он пытается его вылечить, переписав файл обратно на диск. В этот момент RedSun подменяет путь записи, т.к. в коде функции EnableLocalFileRollback отсутствует проверка путей. В итоге Defender своей собственной "рукой" помещает вирус в C:WindowsSystem32. Права админа для того, чтобы получить трояна на комп не нужны, любой процесс, запущенный от непривилегированного пользователя, получает высшие права SYSTEM.

Телеграм: t.me/ainewsline

Источник: vk.com

Комментарии: