12/09/25
В демонстрации показано, что встроенные средства Windows дают возможность перенаправить рабочую папку антивируса и таким образом получить полный контроль над его процессами. Об этом пишет Securitylab.
Рабочие файлы Windows Defender располагаются в каталоге «ProgramData/Microsoft/Windows Defender/Platform[номер версии]». При обновлении служба WinDefend создаёт новую папку с именем, соответствующим актуальной версии, и запускает процессы из неё.
Обычно в эти каталоги невозможно что-либо записать, однако оказалось, что администратор может самостоятельно создавать внутри «Platform» новые папки, а также символические ссылки.
Чтобы воспользоваться этим, исследователь сначала скопировал текущую рабочую папку Defender в собственный каталог (например, «C:/TMP/AV»), где получил полный доступ для модификаций. Затем в «Platform» была создана символьная ссылка с названием, указывающим на более высокий номер версии, чем у существующих директорий, и перенаправляющая на новый путь. После перезагрузки Windows служба Defender стала запускаться именно оттуда, а значит — из директории, полностью контролируемой атакующим.
В таком окружении возможны разные сценарии: внедрение библиотек с помощью DLL Sideloading, подмена или удаление исполняемых файлов, а также прямое выведение Defender из строя. Так, в своём эксперименте автор удалил символьную ссылку, из-за чего при следующем запуске система не смогла найти рабочие файлы антивируса. В результате служба WinDefend не активировалась, а страница «Безопасность Windows» показывала, что защита отключена.
Этот пример показывает, что уязвимости в логике обновлений и управлении версиями системных компонентов могут превращаться в серьёзный инструмент для атак. Антивирусы и EDR-решения работают с повышенными привилегиями и защищены драйверами, однако если злоумышленники находят сбой в их механизмах, они способны либо замаскировать вредоносное ПО под доверенный процесс, либо полностью парализовать средства защиты. Таким образом, даже встроенные в Windows инструменты при определённых условиях могут быть использованы против самой системы.
