Microsoft Defender или «Защитник Windows», как и многие другие антивирусы, позволяет исключать из списка сканирования отдельные пути — локальные папки и сетевые местоположения. Это полезно, например, при разработке ПО или установке программ, которые ошибочно считаются вредоносными.
Эксперт по кибербезопасности компании SentinelOne Антонио Кокомацци, выяснил, что список таких путей хранится в незащищённом формате. Доступ к нему открыт для всех локальных пользователей: они могут узнать, какие файлы, папки, расширения и процессы игнорирует Microsoft Defender. Для этого достаточно открыть консоль Windows и ввести команду reg query, а в качестве параметра указать имя соответствующей ветки в реестре операционной системы.
Получить доступ к аккаунту конкретного пользователя в корпоративных сетях — задача решаемая, отмечают специалисты. Многие сети уже скомпрометированы, и киберпреступники просто ждут нужного момента, чтобы получить как можно больше ценной информации. Дальше — дело техники: достаточно разместить в незащищённых директориях вредоносное ПО и начать атаку.
Уже известно, что уязвимость в антивирусе Microsoft Defender существует около восьми лет. Она затрагивает свежие версии системы, например, Windows 10 21H1 и Windows 10 21H2 — после двух регулярных крупных обновлений, которые разработчики выпускают каждые полгода.
Специалист по кибербезопасности Натан Макналти отметил, что в Windows 11 такой проблемы нет. Но в Windows 10 список исключений также можно получить из дерева записей системного реестра, в котором хранятся настройки групповых политик. Это более конфиденциальная информация, чем настройки для конкретного пользователя — она распространяется на группы компьютеров в сети.
Чтобы обезопасить себя, нужно убедиться, что ваша система не подвергалась взлому и в ней не установлено вредоносное ПО. После этого стоит усилить настройки безопасности и пересмотреть список путей, исключённых из области сканирования Microsoft Defender.