EDRStartupHinder ограничивает запуск антивирусов и EDR в Windows 11 25H2. Опубликованный 2026-01-11 исследователем Two Seven One Three, инструмент использует Windows Bindlink API и защиту Protected Process Light (PPL) для предотвращения работы Windows Defender и других EDR/AV продуктов.
Блокировка антивирусов в Windows 11
Технические детали уязвимости
Инструмент создает вредоносную службу с более высоким приоритетом загрузки, использует Bindlink для перенаправления системных DLL в контролируемые атакующим места, и модифицирует один байт в заголовке PE. Это приводит к отказу в загрузке неподписанных DLL и завершению процесса. После завершения работы целевого процесса безопасность система возвращается к штатной работе кроме редиректа, чтобы избежать нестабильности.
Рекомендации и наблюдения
Для успешной эксплуатации требуется разведка, чтобы указать загружаемые DLL и порядок групп служб. EDRStartupHinder в лабораторных условиях предотвращал запуск Windows Defender и других коммерческих продуктов. Исходный код инструмента выложен на GitHub. Рекомендации по защите включают мониторинг активности Bindlink, отслеживание несанкционированного создания служб Windows и изменения в их настройках, и внедрение политики защиты в глубину.
Пока что Microsoft не сделала официальных заявлений.
