Найден простой способ отключить антивирусную защиту с целью атаки

Специалист обнаружил, что отключить антивирусную защиту можно удалённо с помощью безопасного режима Windows. Эксперт рассказал о методе в видео и опубликовал PoC-код для эксплуатации уязвимости.

Работает всё просто: злоумышленник может запустить скрипт, который удалённо (но можно и локально) отключит антивирусные программы. Скрипт просто перезагрузит устройство в безопасном режиме и переименует каталог приложений перед запуском связанной с ним службы.

«Если бы в крупной компании было, например, 100 пользователей, которые были бы локальными администраторами на всех рабочих станциях компании или администраторами серверов, достаточно было бы обманом заставить одного из них запустить .bat-файл, чтобы отключить антивирусную защиту на всех конечных точках в компании», — рассказал специалист.

Он уже передал информацию Microsoft, но компания не признала уязвимость проблемой. Дело в том, что для атаки всё же требуются права администратора. А если такие есть, то можно сделать много чего похуже.