Специалисты: Уязвимость позволяет обойти Microsoft Defender

За последние месяцы специалисты компании GuidePoint Security обнаружили серьезную уязвимость, которая позволяет злоумышленникам обходить Microsoft Defender, устанавливая вредоносное ПО. Основным элементом в этой схеме оказывается драйвер rwdrv.sys, используемый для разгона процессоров через утилиту ThrottleStop. Он становится шлюзом для установки вируса Akira.

Угроза и ее реализация

Атака строится на методе, при котором взломщики используют доступ к ядру системы для установки вредного драйвера hlpdrv.sys. Этот драйвер способен изменять параметры реестра Windows, что приводит к отключению защитных функций Microsoft Defender. Таким образом, вредоносное ПО получает возможность работать под прикрытием, не будучи обнаруженным системой безопасности компьютера.

Согласно отчету, этот метод используется с июля для распространения вымогательского ПО Akira. Такое программное обеспечение может шифровать данные пользователя, требуя выкуп за их восстановление.

Рекомендации по защите

GuidePoint Security настоятельно рекомендует пользователям убедиться в том, что Microsoft Defender включен и регулярно обновляется. Это минимизирует риск атаки, подобной вышеописанной. Кроме того, важно следить за актуальными новостями по поводу угроз кибербезопасности и обращаться к сертифицированным специалистам за помощью при обнаружении подозрительной активности.

Хотя использование kernel access в атаке может показаться сложным и незаметным для обычного пользователя, увеличение осведомленности и следование передовым практикам безопасной работы в сети существенно уменьшают риски. Организации и пользователи должны оставаться бдительными и принимать проактивные меры для защиты своих систем.

Обновлено: 17.06.2026