В мире информационной безопасности нередки парадоксальные ситуации, когда защитный механизм, призванный блокировать угрозы, сам становится их источником. Именно такую историю рассказывает новое исследование, которое может иметь серьёзные последствия для миллионов пользователей операционных систем Windows. Исследователь, известный под псевдонимом Chaotic Eclipse (Nightmare-Eclipse на GitHub), обнародовал информацию о новой уязвимости нулевого дня в ядре Microsoft Defender. Эта брешь, получившая название RedSun, по утверждению её первооткрывателя, позволяет использовать встроенный антивирус не по назначению - не для удаления угроз, а для их доставки и закрепления в системе с максимальными привилегиями.
Суть уязвимости, если верить описанию, граничит с абсурдом и демонстрирует критическую логическую ошибку в коде. По данным исследователя, когда Microsoft Defender обнаруживает вредоносный файл, помеченный специальным "облачным" тегом, он, вместо того чтобы его изолировать или удалить, совершает контрпродуктивное действие - перезаписывает этот файл обратно в его исходное расположение. Данное поведение нарушает базовый принцип работы любого антивирусного продукта, главная задача которого - нейтрализация угрозы. Однако в данном случае механизм защиты, по сути, гарантирует сохранность вредоносного объекта на диске. Злоумышленник, понимающий эту логику, может создать специальный эксплойт, который использует данную ошибку в свою пользу.
Технически, Proof-of-Concept, созданный исследователем, использует описанное поведение для атаки, направленной на повышение привилегий. Стратегия заключается в том, чтобы заставить Defender перезаписать критически важный системный файл подконтрольным злоумышленнику содержимым. Поскольку Microsoft Defender работает с высокими уровнями доступа для мониторинга всей файловой системы, в результате такой перезаписи атакующий может получить административный контроль над системой. Это классический пример эксплуатации уязвимости типа повышение привилегий, когда пользователь с обычными правами получает возможности администратора, что открывает путь к полному захвату устройства.
Контекст этого открытия делает его ещё более значимым. Тот же исследователь ранее сообщал о другой серьёзной уязвимости, получившей имя BlueHammer. Хотя детали BlueHammer широко не раскрывались, сам факт обнаружения второстепенной, но критической бреши в защитных механизмах Microsoft одним и тем же специалистом указывает на возможные системные проблемы в процессах тестирования безопасности корпорации. RedSun, если её существование подтвердится, представляет собой особенно опасный класс уязвимостей, поскольку она находится в самом центре системы защиты, которой доверяют по умолчанию. Атака не требует от пользователя отключения Defender или обхода его политик - она использует его внутреннюю логику против самой системы.
Потенциальные последствия успешной эксплуатации RedSun крайне серьёзны. Злоумышленник, получивший начальный доступ к системе на уровне обычного пользователя (например, через фишинговое письмо или уязвимость в браузере), мог бы использовать эту брешь для мгновенного эскалации привилегий. После этого он получает возможность отключать другие средства защиты, устанавливать программы-вымогатели или шпионское ПО, красть конфиденциальные данные или создавать скрытые точки закрепления в системе для долгосрочного доступа. Для корпоративных сред это создаёт риск цепочки компрометации, когда атака начинается с рабочей станции рядового сотрудника и завершается захватом контроля над доменом или критическими серверами.
С точки зрения тактик злоумышленников, эта уязвимость идеально вписывается в матрицу MITRE ATT&CK, а именно в технику "Злоупотребление механизмами защиты" (Abuse Defense Evasion). Использование доверенных системных процессов для маскировки вредоносной активности - излюбленный приём продвинутых угроз, таких как APT. Если эксплойт для RedSun попадёт в арсенал таких групп, это может значительно усложнить жизнь специалистам по безопасности, которые полагаются на логики работы встроенных средств защиты при расследовании инцидентов.
На момент публикации информации официального ответа или патча от Microsoft не поступало. Исследователь, следуя принципам ответственного раскрытия, не выложил в открытый доступ полный код эксплойта, ограничившись описанием концепции, что даёт корпорации время на реагирование. Между тем, этот инцидент служит жёстким напоминанием для всех, кто отвечает за информационную безопасность. Даже самые доверенные и глубоко интегрированные в операционную систему защитные решения не являются панацеей и сами могут содержать критические изъяны. Защита должна быть многослойной: помимо антивирусных решений необходимо использовать принцип минимальных привилегий, сегментировать сети, своевременно обновлять системы и внедрять решения для контроля целостности файлов и обнаружения аномалий. История с RedSun - это не просто рассказ об очередной ошибке в коде, а наглядная демонстрация того, что в современной кибербезопасности нельзя слепо полагаться ни на один, даже самый фундаментальный, элемент защиты.
