Использование встроенного антивируса Windows Defender может нести серьёзные риски для корпоративных пользователей из-за обнаруженной уязвимости, позволяющей хакерам получать права администратора. Руководитель группы аналитики L1 GSOC компании «Газинформсервис» Андрей Жданухин рассказал в связи с этим о том, зачем российским организациям необходим постоянный мониторинг конечных точек.
Исследователь под псевдонимом Nightmare Eclipse опубликовал эксплойт RoguePlanet, использующий уязвимость в Windows Defender, которая затрагивает как Windows 10, так и Windows 11. Проблема позволяет хакерам за несколько секунд получить права администратора, включая наивысший уровень System, после чего злоумышленник получает практически полный доступ к компьютеру. Сообщается, что эксплойт работает даже на полностью обновлённых системах, включая устройства с установленными июньскими патчами 2026 года.
«Современные атаки всё чаще используют сами защитные механизмы Windows против пользователя, — отметил Андрей Жданухин. — Проблема особенно опасна тем, что эксплуатируется встроенный и доверенный компонент ОС, который присутствует практически на каждом корпоративном устройстве. В результате злоумышленник получает возможность повышать привилегии практически "из коробки", а стандартные средства контроля могут воспринимать подобную активность как легитимную работу системных процессов».
По словам эксперта, сложно сказать, что такой вектор атаки применителен для российских организаций, особенно крупных. «Так как в большинстве своём мы используем коммерческие антивирусные решения от отечественных вендоров, а не полагаемся на встроенный от Windows, — пояснил он. — Однако мы в GSOC компании "Газинформсервис" рекомендуем помимо купленной защиты конечных точек позаботиться о постоянном мониторинге активности на конечных точках. А качественная экспертиза обнаружения атак вашего центра мониторинга позволит выявить попытки эксплуатации уязвимостей, как например RoguePlanet, которая используется в атаках на Windows Defender».
Возврат к списку