Хакери са успели да заобикалят защитата на Microsoft Defender, за да изтеглят рансъмуер на компютри с Windows
Компанията за осведомителна сигурност GuidePoint Security издаде предизвестие, в което се показва, че хакерите са се научили по какъв начин да заобикалят отбраната на Microsoft Defender, с цел да конфигурират и разпрострат рансъмуера Akira. За задачата те употребяват накърнимост в един от законните драйвери.
Въпросният драйвер е rwdrv.sys, който се употребява от обслужващата стратегия ThrottleStop за настройване на процесори на Intel.
Използването на уязвимостта на драйвера разрешава достъп до операционната система Windows на равнище ядро, след което нападателите зареждат в системата зловредния драйвер hlpdv.sys, който трансформира регистъра на Windows и деактивира защитните функционалности на Microsoft Defender. След като отбраните са деактивирани, единственото, което нападателите би трябвало да създадат, е да изтеглят рансъмуера Akira на компютъра на жертвата.
Според GuidePoint хакерите употребяват този двустепенен метод за разпространяване на рансъмуер най-малко от юли тази година. За да защитят надеждно своите компютри, на потребителите се предлага да употребяват надеждни антивирусни артикули и да не разчитат единствено на Microsoft Defender. Освен това постоянното инсталиране на пачове за сигурност, при които разработчиците отстраняват уязвимости в софтуера, открити по време на употребата ще помогне за усилване на отбраната.
