"*"-по мнению профессионалов Роблокса и Майнкрафта
Тут выяснилось, что в Defender есть идеальный бэкдор, который прямо сейчас позволяет любому мимокрокодилу получить права SYSTEM. Без паролей, без окошек UAC, без SMS.
Какой-то реверс-инженер в своем блоге написал примерно следующее:
"Microsoft проигнорировала мои репорты. Я не блефовал, и я сделаю это снова."
За последние 13 дней этот мститель вывалил в паблик сразу три 0-day эксплойта, нацеленных исключительно на Defender:
BlueHammer. Юзает локальное повышение привилегий. Уже пропатчили (CVE-2026-33825).
UnDefend - эксплойт, который навсегда ломает механизм апдейтов самого Дефендера.
RedSun - свежайший, непропатченный 0-day, который прямо сейчас гуляет по GitHub в виде готового PoC.
Уязвимость RedSun бьет в самую нежную точку антивируса... в механизм восстановления файлов. Когда Defender находит подозрительный файл с облачной меткой, он пытается его вылечить, переписывая обратно на диск. В момент, когда антивирус (работающий с наивысшими правами SYSTEM) пытается записать вылеченный файл в безопасную временную папку, эксплойт успевает подменить путь через junction. В коде функции EnableLocalFileRollback наглухо отсутствует валидация путей и проверка на симлинки! В итоге Defender пишет малварь прямиком в C:\Windows\System32
Атакующему даже не нужно обходить антивирус - он использует его как таран. Любой процесс, запущенный от обычного юзера без прав админа, за секунды превращается в SYSTEM. Дальше можно дампить хеши паролей из LSASS, сносить теневые копии и шифровать весь домен
Хацкер пообещал выложить еще одну уязвимость для удаленного выполнения кода, где вообще не требует физического доступа к машине.
Сразу вспоминаются прекрасные персонажи, которые задорно объясняют, что не нужны вам никакие сторонние антивирусы, ведь в Винде есть прекрасный встроенный Дефендер, которого более чем достаточно!
Ни разу не пожалел, что каждый год покупаю Касперского.
Никаких тормозов или зависаний, зато периодически не дает какой-нибудь бяке скачаться или отлавливает пролезшее.
Сейчас, сейчас
Тут выяснилось, что в Defender есть идеальный бэкдор, который прямо сейчас позволяет любому мимокрокодилу получить права SYSTEM. Без паролей, без окошек UAC, без SMS.
Какой-то реверс-инженер в своем блоге написал примерно следующее:
"Microsoft проигнорировала мои репорты. Я не блефовал, и я сделаю это снова."
За последние 13 дней этот мститель вывалил в паблик сразу три 0-day эксплойта, нацеленных исключительно на Defender:
BlueHammer. Юзает локальное повышение привилегий. Уже пропатчили (CVE-2026-33825).
UnDefend - эксплойт, который навсегда ломает механизм апдейтов самого Дефендера.
RedSun - свежайший, непропатченный 0-day, который прямо сейчас гуляет по GitHub в виде готового PoC.
Уязвимость RedSun бьет в самую нежную точку антивируса... в механизм восстановления файлов. Когда Defender находит подозрительный файл с облачной меткой, он пытается его вылечить, переписывая обратно на диск. В момент, когда антивирус (работающий с наивысшими правами SYSTEM) пытается записать вылеченный файл в безопасную временную папку, эксплойт успевает подменить путь через junction. В коде функции EnableLocalFileRollback наглухо отсутствует валидация путей и проверка на симлинки! В итоге Defender пишет малварь прямиком в C:\Windows\System32
Атакующему даже не нужно обходить антивирус - он использует его как таран. Любой процесс, запущенный от обычного юзера без прав админа, за секунды превращается в SYSTEM. Дальше можно дампить хеши паролей из LSASS, сносить теневые копии и шифровать весь домен
Хацкер пообещал выложить еще одну уязвимость для удаленного выполнения кода, где вообще не требует физического доступа к машине.