"*"-по мнению профессионалов Роблокса и Майнкрафта
Тут выяснилось, что в Defender есть идеальный бэкдор, который прямо сейчас позволяет любому мимокрокодилу получить права SYSTEM. Без паролей, без окошек UAC, без SMS.
Какой-то реверс-инженер в своем блоге написал примерно следующее:
"Microsoft проигнорировала мои репорты. Я не блефовал, и я сделаю это снова."
За последние 13 дней этот мститель вывалил в паблик сразу три 0-day эксплойта, нацеленных исключительно на Defender:
BlueHammer. Юзает локальное повышение привилегий. Уже пропатчили (CVE-2026-33825).
UnDefend - эксплойт, который навсегда ломает механизм апдейтов самого Дефендера.
RedSun - свежайший, непропатченный 0-day, который прямо сейчас гуляет по GitHub в виде готового PoC.
Уязвимость RedSun бьет в самую нежную точку антивируса... в механизм восстановления файлов. Когда Defender находит подозрительный файл с облачной меткой, он пытается его вылечить, переписывая обратно на диск. В момент, когда антивирус (работающий с наивысшими правами SYSTEM) пытается записать вылеченный файл в безопасную временную папку, эксплойт успевает подменить путь через junction. В коде функции EnableLocalFileRollback наглухо отсутствует валидация путей и проверка на симлинки! В итоге Defender пишет малварь прямиком в C:\Windows\System32
Атакующему даже не нужно обходить антивирус - он использует его как таран. Любой процесс, запущенный от обычного юзера без прав админа, за секунды превращается в SYSTEM. Дальше можно дампить хеши паролей из LSASS, сносить теневые копии и шифровать весь домен
Хацкер пообещал выложить еще одну уязвимость для удаленного выполнения кода, где вообще не требует физического доступа к машине.
Сразу вспоминаются прекрасные персонажи, которые задорно объясняют, что не нужны вам никакие сторонние антивирусы, ведь в Винде есть прекрасный встроенный Дефендер, которого более чем достаточно!
Ни разу не пожалел, что каждый год покупаю Касперского.
Никаких тормозов или зависаний, зато периодически не дает какой-нибудь бяке скачаться или отлавливает пролезшее.
> каждый год покупаю Касперского.
> Никаких тормозов или зависаний
Железо тоже каждый год апгрейдишь, чтоб Каспер не тормозил?!
Это не совсем шутка: у нас на работе неоднократно бывало, что новые мажорные релизы Каспера ставили на колени даже тяжелые серверы, не говоря про обычные компы. Потом, конечно, выходили фиксы, но осадочек остался.
В реалиях капитализьма второй вариант тоже нередок:
-Здравствуйте, платный доктор!
-Оооо, заходите, заходите, недообследованный пациент! Мы вас просто так не отпустим!
> Тут выяснилось, что в Defender есть идеальный бэкдор, который прямо сейчас позволяет любому мимокрокодилу получить права SYSTEM. Без паролей, без окошек UAC, без SMS.
Мимокрокодил - это зловредный код, который надо запустить у себя на компе с обычными правами, и уже он сам с помощью этой уязвимости продвинется до SYSTEM. У себя не надо запускать непонятно что даже с обычными правами, зловреды могут утащить много всякого и из пользовательских данных.
Сейчас, сейчас
Тут выяснилось, что в Defender есть идеальный бэкдор, который прямо сейчас позволяет любому мимокрокодилу получить права SYSTEM. Без паролей, без окошек UAC, без SMS.
Какой-то реверс-инженер в своем блоге написал примерно следующее:
"Microsoft проигнорировала мои репорты. Я не блефовал, и я сделаю это снова."
За последние 13 дней этот мститель вывалил в паблик сразу три 0-day эксплойта, нацеленных исключительно на Defender:
BlueHammer. Юзает локальное повышение привилегий. Уже пропатчили (CVE-2026-33825).
UnDefend - эксплойт, который навсегда ломает механизм апдейтов самого Дефендера.
RedSun - свежайший, непропатченный 0-day, который прямо сейчас гуляет по GitHub в виде готового PoC.
Уязвимость RedSun бьет в самую нежную точку антивируса... в механизм восстановления файлов. Когда Defender находит подозрительный файл с облачной меткой, он пытается его вылечить, переписывая обратно на диск. В момент, когда антивирус (работающий с наивысшими правами SYSTEM) пытается записать вылеченный файл в безопасную временную папку, эксплойт успевает подменить путь через junction. В коде функции EnableLocalFileRollback наглухо отсутствует валидация путей и проверка на симлинки! В итоге Defender пишет малварь прямиком в C:\Windows\System32
Атакующему даже не нужно обходить антивирус - он использует его как таран. Любой процесс, запущенный от обычного юзера без прав админа, за секунды превращается в SYSTEM. Дальше можно дампить хеши паролей из LSASS, сносить теневые копии и шифровать весь домен
Хацкер пообещал выложить еще одну уязвимость для удаленного выполнения кода, где вообще не требует физического доступа к машине.