«Свой среди чужих»: почему Windows Defender вдруг стал угрозой для вашего ПК

Представьте картину. Вы сидите за компьютером, на котором крутится свежая Windows. Защитник системы исправно моргает зелёной иконкой, мол, «всё тип-топ, опасностей нет». И тут внезапно выясняется, что этот самый защитник — не щит, а… троянский конь. И он уже открыл ворота самым неприятным гостям. Звучит как сценарий фильма? Увы, это реальность последних недель.

Разбираемся, как злоумышленники используют ваш же антивирус против вас

Сразу две новости взорвали спокойное ИТ-болото. Первая, почти рекламная: в Microsoft заявили, что встроенный Defender настолько хорош, что обычному пользователю вообще больше ничего не нужно. Вторая — мрачная и тревожная: в этом же Defender обнаружили целый набор дыр, причём некоторые из них компания не спешит заклеивать. А один исследователь безопасности, устав ждать реакции на свои багрепорты, взял и выложил в открытый доступ три рабочих эксплойта. И пообещал четвёртый.

Давайте спокойно, без паники, но с полным пониманием разберём, что это за звери — BlueHammer, UnDefend и RedSun. И главное: как вам, обычному человеку, не стать жертвой того, во что Microsoft призывает верить.

Сначала было слово… от Microsoft

Для начала отдадим должное: Windows Defender и правда сильно прокачался за последние годы. Он больше не тот смешной антивирус, который пропускал даже простые макровирусы из «Ворда». Сегодня это серьёзный продукт с облачной аналитикой, машинным обучением и правами SYSTEM — то есть работает на самом высоком, практически «божеском» уровне в системе.

Именно поэтому заявление Microsoft звучало логично: «Вам не нужен сторонний антивирус, наш справится сам». Многие пользователи поверили. И даже мы, если честно, рекомендовали некоторым друзьям отказаться от тяжеловесных пакетов типа «Касперского» или Norton в пользу лёгкого и уже встроенного Defender’а.

Но потом выяснилось вот что.

Исследователь, который устал ждать

Один специалист по безопасности (его имя сейчас не так важно, важны действия) несколько месяцев отправлял в Microsoft отчёты об уязвимостях. Тишина. Ещё отчёты — ещё тишина. Баги не исправляли, даже не подтверждали получение. В какой-то момент у него лопнуло терпение, и он сделал то, чего обычно не делают этичные хакеры: выложил в публичный доступ три эксплойта.

Почему это страшно? Потому что теперь любой мало-мальски умелый злоумышленник может взять эти кирпичики и построить из них вполне работающую атаку. Не нужно быть гением — просто скачай, запусти и получи результат. А результат, как вы сейчас увидите, впечатляет.

Итак, знакомимся с тройкой.

BlueHammer: тот самый «молоток», который уже пропатчили (но не все)

Начнём с относительно безобидного. BlueHammer — это способ повысить права пользователя. Если простыми словами: обычно вы работаете за компьютером под своим непривилегированным аккаунтом (без прав администратора). Вам кажется, что вы в безопасности, потому что без пароля админа ничего серьёзного не установишь и не сломаешь.

BlueHammer ломает эту логику. Он позволяет обычному «гостевому» процессу получить права SYSTEM — максимально возможные в Windows. Это как если бы охранник на входе сам принёс ключи от сейфа и открыл его перед грабителем.

Хорошая новость: Microsoft всё-таки закрыла эту дыру в обновлении, которое вышло под номером CVE-2026-33825 (обратите внимание — 2026 год, то есть это совсем свежая история). Плохая новость: не все пользователи устанавливают обновления вовремя. Если вы отложили «Центр обновлений» на потом — злоумышленник может воспользоваться BlueHammer прямо сейчас на вашем ПК.

UnDefend: когда ваш антивирус больше никогда не обновится

Вот это уже серьёзнее. UnDefend — эксплойт, который навсегда ломает механизм обновления Windows Defender. Не отключает его временно, не заставляет повиснуть. А именно ломает. Без возможности восстановления через стандартные средства.

Представьте, что у вашего автомобиля отвалились колёса, и их невозможно прикрутить обратно — только везти на эвакуаторе в сервис с полной переустановкой системы. То же самое здесь. Defender остаётся внешне живым, но его базы сигнатур больше не обновляются. Новые вирусы он перестаёт видеть. А старые — всё ещё может находить, но это слабое утешение.

И главный подвох: никаких уведомлений об ошибке не будет. Иконка зелёная, настройки открываются — а по факту вы стоите голый перед киберпреступным миром.

RedSun: самый страшный. Активный 0-day уже сейчас

А вот это уже даже не «страшно», а «очень страшно». RedSun — непропатченный 0-day. То есть официальной заплатки от Microsoft на данный момент нет. И самое неприятное: его уже активно используют реальные злоумышленники. Это не лабораторная игрушка, а работающее оружие.

Как он работает? Давайте чуть глубже, но без сложных терминов.

Windows Defender, обнаружив подозрительный файл с «облачной меткой» (то есть потенциально опасный по версии облачной аналитики Microsoft), пытается его вылечить. Он перезаписывает этот файл «чистой» версией на диск. Вроде бы безобидный процесс: нашёл заразу — обезвредил.

Но в коде функции EnableLocalFileRollback разработчики допустили роковую ошибку: они забыли проверить пути. И эксплойт RedSun подменяет путь, куда Defender должен записать «чистую» версию. В результате антивирус своей же собственной рукой (и со своими высочайшими правами SYSTEM!) записывает вредоносный файл в папку C:\Windows\System32.

Осознаёте масштаб? Defender сам помещает вирус в самое сердце операционной системы. Причём для этого не нужны права администратора — любой процесс, запущенный от обычного непривилегированного пользователя, может провернуть этот трюк. Получается идеальный взлом: «свой» занёс заразу.

А почему это вообще возможно?

Здесь мы подходим к главному парадоксу. Defender работает с наивысшими правами SYSTEM. Это сделано специально, чтобы он мог чистить любые заражённые файлы, куда бы те ни прятались. Но те же самые права превращают любую ошибку в катастрофу.

Пока разработчики Microsoft проверяли, работает ли антивирус быстро и точно, они упустили из виду элементарную вещь: проверку вводимых данных. Подмена пути записи — это классическая уязвимость, о которой знают студенты-программисты на втором курсе. Но в одном из самых критичных компонентов Windows эта проверка отсутствует.

Что делать обычному пользователю прямо сейчас?

Я не буду призывать вас немедленно удалять Windows или переходить на Linux. Это непрактично. Но и сидеть сложа руки, полагаясь на «авось Microsoft исправит», тоже не стоит.

Вот мои практические советы, основанные на том, что мы знаем на текущий момент:

1. Установите все последние обновления Windows. Да, я знаю, вы не любите перезагружаться. Но BlueHammer уже закрыт — для тех, кто обновился. Если вы пропустили патч, вы уязвимы.
2. Не отключайте Defender полностью. Да, сейчас он дырявый. Но дырявый щит лучше, чем никакого. Полное отключение сделает вас лёгкой мишенью для тысяч других вирусов, не использующих эти эксплойты.
3. Используйте временное дополнение в виде стороннего антивируса или фаервола с HIPS. Я не говорю бежать за платными монстрами. Даже бесплатный Kaspersky Free или Bitdefender Free могут закрыть те векторы атак, которые сейчас открыты в Defender. Воспринимайте это как костыль до выхода официального патча.
4. Будьте осторожны с файлами из интернета. RedSun требует, чтобы Defender «заподозрил» файл. А как он его заподозрит? Вы должны этот файл скачать или получить по почте. Не открывайте подозрительные вложения, не качайте программы с сомнительных сайтов. Это банально, но именно сейчас эта банальность спасает.
5. Следите за новостями от Microsoft. Как только выйдет патч для RedSun — устанавливайте его немедленно, даже если для этого придётся отложить Netflix. 0-day в дикой природе — это не шутки.

Чего ждать дальше?

Исследователь пообещал выложить четвёртый эксплойт. Не удивлюсь, если он окажется ещё более изощрённым. Microsoft, в свою очередь, вынуждена будет реагировать. Но реакция крупной корпорации — это недели, а иногда и месяцы. А вирусы распространяются за часы.

Поэтому моё личное мнение: слепо доверять встроенному антивирусу Microsoft, как они сами призывают, сейчас — самоубийство для вашей цифровой безопасности. Defender — хороший инструмент, но не панацея. И эта история с тремя дырами — лучшее тому доказательство.

Вместо заключения

Помните старую поговорку «доверяй, но проверяй»? Сейчас она актуальна как никогда. Microsoft говорит: «Вам больше ничего не нужно». Но реальность говорит обратное. Пока разработчики закрывают одни дыры, хакеры находят три новых. И то, что антивирус работает с правами бога, не делает его богом. Скорее — уязвимым гигантом, который может случайно раздавить вас своей же пятой.

Оставайтесь в безопасности. Обновляйтесь. Не кликайте по подозрительным ссылкам. И помните: даже самый лучший антивирус — это всего лишь программа, написанная людьми. А люди ошибаются.

Берегите себя. И свои данные.