Обнаружен способ дистанционного отключения антивирусов на Windows с использованием режима безопасного запуска. Microsoft не считает находку Роберто Франческетти (Roberto Franceschetti) уязвимостью, так как проведение атаки требует наличия прав администратора.
Автор находки, напротив, уверен, что разработчики Windows допустили ошибку, поэтому он опубликовал результаты исследования и PoC-коды для деактивации Microsoft Defender, а также антивирусных продуктов Avast, Bitdefender, F-Secure и Kaspersky.
По словам Франческетти, написанные им bat-скрипты можно запустить как локально, так и удаленно. В обоих случаях они работают одинаково: инициируют перезагрузку Windows в безопасном режиме и переименовывают папку антивируса до запуска ассоциированной службы.
Для смены имени папок защитных решений в системе создается служба Windows NT, способная работать в безопасном режиме. Поскольку в этом случае ОС при старте блокирует большинство сторонних и не критичных для ее работы сервисов, исследователю пришлось обеспечить запуск своей службы добавлением записи в раздел реестра HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal.
Созданный Франческетти эксплойт с успехом отработал на Windows 10 и Windows Server 2016 с такой защитой, как Defender, Avast и F-Secure. Антивирусы Kaspersky и Bitdefender смогли воспрепятствовать завершению PoC-сценария, так как в них предусмотрена защита от несанкционированного вмешательства, и соответствующие скрипты пришлось немного изменить.
Провести такую атаку на Windows без повышенных привилегий невозможно, однако исследователь не преминул отметить, что на многих домашних ПК вход осуществляется из-под аккаунта администратора. В корпоративном окружении подобный эксплойт более опасен: если ряд служащих имеет админ-доступ ко всем рабочим станциям или серверу компании, достаточно убедить одного из них запустить вредоносный bat-файл, и весь парк останется без антивирусной защиты.
В Microsoft отказались признавать PoC-атаку Франческетти угрозой безопасности и не планируют что-либо исправлять. Производители антивирусов, по мнению исследователя, мало чем могут помочь: корень зла кроется в Windows, а не их решениях. Тем не менее, некоторые из названных ИБ-вендоров собираются принять меры для предотвращения атак по предложенному сценарию — в частности, о таком намерении заявили Avast и «Лаборатория Касперского».
В F-Secure уповают на EDR-зашиту (Endpoint Detection and Response, система обнаружения целевых атак на конечных точках сети). Bitdefender, как и Microsoft, не считает нужным реагировать на находку, так как та «не является уязвимостью либо непредусмотренным поведением».
Злоумышленники начали записываться на онлайн-занятия к репетиторам и во время уроков под разными предлогами вынуждают преподавателей переходить по фишинговым ссылкам. Основная цель таких атак — захват учётных записей в различных онлайн-сервисах.
Как сообщает РИА Новости со ссылкой на источники, во время занятия мошенники жалуются на якобы возникшие проблемы со связью и присылают «альтернативную» ссылку.
На самом деле она ведёт на фишинговую страницу, визуально полностью повторяющую интерфейс аутентификации Zoom или другого сервиса видеосвязи. Все данные, введённые на такой странице, сразу попадают к злоумышленникам.
В некоторых случаях поддельные сайты дополнительно предлагают войти через уже существующие аккаунты популярных платформ. При использовании такого варианта аутентификации учётные данные от этих сервисов также оказываются в распоряжении киберпреступников.
В 2024–2025 годах злоумышленники особенно активно «угоняли» учётные записи портала Госуслуг и мессенджера Telegram. По итогам 2024 года количество успешных атак на пользователей Telegram выросло в 50 раз.
Согласно статистике МВД за тот же период, взломы аккаунтов Госуслуг составили около 90% всех зарегистрированных киберпреступлений. По данным на середину 2025 года рост угонов учётных записей Telegram составил около 50%.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
