Бесплатно Экспресс-аудит сайта:

17.12.2020

Популярные антивирусные решения можно отключить через безопасный режим в Windows

Microsoft и ряд других крупных поставщиков антивирусного ПО отреагировали на раскрытие исследователем безопасности метода удаленного отключения их защитных решений с помощью безопасного режима Windows. Исследователь Роберто Франческетти (Roberto Franceschetti) опубликовал в своем блоге видео и PoC-код для эксплуатации уязвимости, позволяющий отключать антивирусные продукты от Microsoft (Защитник Windows), Avast, Bitdefender, F-Secure и «Лаборатории Касперского»

Специалист продемонстрировал, как злоумышленник с повышенными привилегиями может запустить скрипт, который локально или удаленно отключает антивирусное ПО, перезагружая устройство в безопасном режиме и переименовывая его каталог приложений перед запуском связанной с ним службы. Эксперту удалось провести успешные атаки на продукты Microsoft, Avast, Bitdefender, F-Secure и «Лаборатории Касперского», установленные на системах под управлением Windows 10 и Windows Server 2016.

«Если бы в крупной компании было, например, 100 пользователей, которые были бы локальными администраторами на всех рабочих станциях компании или администраторами серверов, достаточно было бы обманом заставить одного из них запустить .bat-файл, чтобы отключить антивирусную защиту на всех конечных точках в компании», — пояснил эксперт.

Исследователь сообщил о своих находках компании Microsoft, однако техногигант отрицает наличие проблемы, поскольку для атаки требуются права администратора.

«Сообщения о проблемах, основанных на наличии прав администратора/суперпользователя, не являются действительными, потому что злонамеренный администратор может делать гораздо худшие вещи», — заявила Microsoft.

Технологический гигант подтвердил ресурсу SecurityWeek, что не планирует никаких действий. Представители «Лаборатории Касперского» и Avast, напротив, сообщили о работе над исправлением для данной проблемы. В Bitdefender заявили, что компания была осведомлена об исследовании до его публикации и определила, что «это не является уязвимостью».