Хакер #305. Многошаговые SQL-инъекции
На прошлой неделе журналисты Bleeping Computer обратили внимание, что после релиза Windows 10 1903 и появления защитной функции Tamper Protection стало невозможно отключить Windows Defender с помощью реестра, командной строки или групповых политик.
Издание поясняет, что раньше Windows Defender отключался с помощью групповой политики Turn off Microsoft Defender Antivirus. В этом случае в реестре, в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender, появлялся параметр DisableAntiSpyware, значение которого устанавливалось на «1». Однако в Microsoft сочли эту настройку устаревшей и решили избавиться от нее, ведь Windows Defender все равно автоматически отключается при обнаружении другого антивирусного ПО.
Исследователи отмечают, что отключением антивируса через DisableAntiSpyware злоупотребляло множество вредоносов, включая TrickBot, Novter, Clop, Ragnarok и AVCrypt. Более того, даже после появления защиты Tamper Protection злоупотребить DisableAntiSpyware Registry по-прежнему было возможно на протяжении некоторого времени. Так, если параметр был включен, и малварь перезагружала компьютер, Windows Defender оказывался выключен для этого конкретного сеанса. При следующей перезагрузке срабатывала защита Tamper Protection и снова включала встроенный антивирус.
В конце августа 2020 года инженеры Microsoft окончательно избавились то данной политики, чтобы предотвратить описанные выше злоупотребления. Разработчики поясняют:
«Функция Microsoft Defender Tamper Protection по умолчанию включена для всех потребительских устройств под управлением Windows 10. Данная функция защищает устройства от кибератак, отключающих встроенные защитные безопасности (такие как антивирусы) в попытке получить доступ к вашим данным, установить вредоносное ПО или иным образом использовать ваши данные, личность и устройства.
Поскольку антивирус Microsoft Defender автоматически отключается при обнаружении другой антивирусной программы, мы удаляем устаревший параметр реестра под названием DisableAntiSpyware. Он предназначался для OEM-производителей и ИТ-администраторов, чтобы они могли отключить антивирус Microsoft Defender с целью развертывания другого антивирусного продукта, не должен использоваться на потребительских устройствах и будет удален, начиная с версии Microsoft Defender Antimalware 4.18.2007.8 и выше».