Windows Defender теперь бесполезен — хакеры научились отключать его за секунды В
мире кибербезопасности назревает тревожная тенденция: новый инструмент Defendnot позволяет обойти защиту Windows и отключить встроенный Microsoft Defender буквально в один
клик. Утилиту разработал «белый хакер» под псевдонимом es3n1n. Он продемонстрировал, как с помощью недокументированного системного API можно полностью выключить защитник
Windows, не вызвав ни одного предупреждения.
Основой работы Defendnot является использование малоизвестного интерфейса Windows Security Center (WSC), предназначенного для регистрации сторонних антивирусов. По замыслу Microsoft, если
пользователь устанавливает альтернативное защитное ПО, Defender должен отключаться во избежание конфликтов. Defendnot подставляет фиктивный антивирус, который система воспринимает как легитимный,
и автоматически выключает Defender.
Работа утилиты не ограничивается одиночным действием. Она включает загрузчик, который читает параметры из конфигурационного файла ctx.bin — здесь можно указать
имя фейкового антивируса, активировать логирование, задать поведение. Для устойчивости к перезагрузкам Defendnot создаёт задачу в планировщике Windows, обеспечивая автозапуск при
каждом входе в систему.
Эксперты называют Defendnot одной из самых тревожных разработок последних месяцев. Несмотря на то, что она создана в рамках white-hat-подхода, её
принципы могут быть использованы злоумышленниками для массовых атак. Уязвимость системной логики Windows, позволяющей без подтверждения деактивировать штатный защитник, ставит под
сомнение всю модель доверия к встроенной безопасности.
Microsoft пока не прокомментировала ситуацию. Представители киберсообщества настаивают: необходимо срочно обновить механизмы проверки регистрации антивирусов и отказаться от автоматического отключения
Defender без прямого пользовательского действия.
Фото: Соцсети.
ИЗНАНКА — другая сторона событий.
Ставьте лайки, следите за обновлениями в наших соцсетях и присылайте свои материалы в редакцию.