Microsoft Defender (ранее Windows Defender)

Продукт
Разработчики: Microsoft
Дата последнего релиза: 2023/01/16
Технологии: ИБ - Антивирусы

Содержание

Основная статья: Антивирусы

2024: Дыра во встроенном антивирусе Windows позволяет заражать ПК с минимальными усилиями

В конце июля 2024 года стало известно, что позже уязвимость безопасности Microsoft Defender SmartScreen позволяла хакерам с легкостью распространять такие вредоносные программы, как ACR Stealer, Lumma и Meduza.

Компания Fortinet FortiGuard Labs обнаружила, что хакеры провели целую кампанию по краже информации в Испании, Таиланде и США, используя уязвимость во встроенном антивирусе Windows. Эта дыра позволяла злоумышленникам легко обойти защиту SmartScreen и встроить в систему файлы-ловушки. Microsoft решила эту проблему в рамках ежемесячных обновлений безопасности, выпустив патч в феврале 2024 года.

Уязвимость во встроенном антивирусе Windows позволяет легко заражать ПК

Один из распространяемых вирусов, ACR Stealer, является усовершенствованной версией GrMsk Stealer и способен перекачивать информацию из веб-браузеров, криптокошельков, приложений для обмена сообщениями, FTP-клиентов, почтовых клиентов, VPN-сервисов и менеджеров паролей. Другая вредоносная программа, Lumma Stealer, для распространения которой применялась та же уязвимость, позволяет злоумышленникам в любое время менять домены C2 и нарушать устойчивость инфраструктуры.

Для кибератаки хакеры также использовали документ Microsoft Word с макросами, который маскируется под руководство по восстановлению системы Microsoft. Этот файл при открытии запускает макрос для извлечения файла DLL второго этапа с пульта дистанционного управления, который декодируется для запуска Daolpu, вредоносного ПО для кражи учетных данных и файлов cookie из Google Chrome, Microsoft Edge, Mozilla Firefox и других браузеров на базе Chromium.

«
Поскольку хакеры распространяют все больше вирусов, загружать приложения через поисковые системы становится все опаснее, — отметил исследователь Malwarebytes Жером Сегура. - Пользователям частот приходится выбирать между вредоносной рекламой и скомпрометированными веб-сайтами.[1]
»

2023: Фирменный антивирус Windows удалил пользовательские ярлыки на рабочем столе и в меню «Пуск»

Microsoft Defender по ошибке удалил ярлыки пользователей операционных систем Windows 10 и Windows 11, используемые для быстрого запуска установленных на ПК программ. Антивирус, входящий в состав операционных систем семейства Windows, принял ярлыки на рабочем столе и в стартовом меню за вредоносное ПО. Об этом стало известно 16 января 2023 года.

13 января 2023 года Microsoft выпустила обновление антивирусных сигнатур для Microsoft Defender for Endpoint версии 1.381.2140.0, которое, в частности, внесло изменение в работу правила механизма ASR (Attack Surface Reduction; «сокращение направлений атак») под названием "Block Win32 API calls from Office macro" (ID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b). Это правило позволяет программе выявлять и пресекать попытки обращения вредоносного ПО к API Win32 при помощи VBA-макросов.

После внесения изменений в соответствующее правило Microsoft Defender начал демонстрировать случаи ложного срабатывания, в результате которых оказались удалены ярлыки пользовательских приложений, размещенных на рабочем столе Windows, в меню «Пуск», а также на панели быстрого доступа – антивирус счел их вредоносными программами.

Коснулось это как ярлыков софта самой компании Microsoft (например, Office), так и приложений сторонних разработчиков (Google Chrome, Mozilla Firefox и др.)

Как отмечает Bleeping Problem, проблемное правило накануне выходных внесло хаос в работу корпоративных пользователей Windows-машин и обслуживающих их системных администраторов. Первые утратили возможность быстрого запуска привычных приложений, вторые были вынуждены искать способ восстановления удаленных вышедшим из-под контроля Microsoft Defender ярлыков.

Впоследствии Microsoft отключила некорректное правило ASR (апдейт сигнатур 1.381.2164.0) попросила клиентов проверить SI MO497128 в центре администрирования на наличие дополнительных обновлений. В Microsoft подчеркнули, что потребуется несколько часов, чтобы обновленное правило заработало, как это было изначально задумано разработчиками.

Системным администраторам на этот период порекомендовали переключить соответствующее правило в режим аудита, чтобы гарантированно обезопасить себя от негативных последствий применения опасного ASR-правила. Осуществляется это при помощи облачного инструмента Intune, предназначенного для управления конечными точками, правки групповых политик или команды Add-MpPreference в Power Shell.

14 января 2023 г., Microsoft опубликовала на принадлежащем ей хостинге GitHub скрипт Power Shell, который позволяет восстановить удаленные ярлыки приложений – всего 42 наименования.

В их числе продукты компании Adobe (Acrobat, Photoshop), ПО, входящее в состав пакета Microsoft Office (Excel, Word, Outlook), браузеры Google Chrome и Mozilla Firefox, медиаплеер VLC, архиватор 7zip и др. В случае необходимости администраторы могут самостоятельно скорректировать перечень программ, ярлыки которых нуждаются в восстановлении[2].

2022

Возможность выявления уязвимостей в Android и iOS в корпоративной сети

Microsoft представила общедоступную предварительную версию Microsoft Defender for Endpoint (MDE), которая поможет организациям выявлять уязвимости в устройствах Android и iOS в корпоративных сетях. Об этом стало известно 4 июля 2022 года.

После включения данной функции Mobile Network Protection на устройствах Android и iOS MDE будет обеспечивать защиту и уведомлять при обнаружении угроз, связанных с Wi-Fi и мошенническими сертификатами (основной вектор атаки для Wi-Fi).

MDE может обнаружить устройство Hak5 Wi-Fi Pineapple, которое киберпреступник использует для сбора данных, передаваемых в сети. MDE также предупредит пользователя о переключении сети, если обнаружит подозрительную или незащищенную сеть, и отправит push-уведомление, когда найдет открытые Wi-Fi-сети.

Microsoft также предоставляет подробную информацию о настройке защиты сети на устройствах Android и iOS через центр администрирования Microsoft Endpoint Manager.

«
По мере того, как мир продолжает осознавать цифровую трансформацию, сети становятся все более сложными и предоставляют возможность для вредоносной деятельности. Для борьбы с киберпреступностью Microsoft предлагает функцию защиты мобильных сетей в Defender for Endpoint, которая помогает организациям выявлять, оценивать и устранять слабые места конечных точек с помощью надежной аналитики угроз, — заявила компания на этой неделе[3].
»

Добавление встроенного режимома устранения неполадок

Microsoft Defender теперь доступен со встроенным режимом устранения неполадок. Об этом стало известно 18 мая 2022 года.

Данную функцию в раннем доступе уже можно протестировать

Режимом устранения неполадок (troubleshooting mode) поможет Windows администраторам протестировать производительность антивируса Microsoft Defender и запустить сценарии совместимости без блокировки защиты от проникновения.

Данный режим антивируса находится в раннем доступе и позволяет администраторам отключать или изменять настройки защиты от несанкционированного доступа при диагностике приложений или устранении неполадок. Функция доступна только для предприятий и по умолчанию отключена. Для работы службы требуется доступ к Microsoft 365 Defender.

Для тестирования функции в раннем доступе пользователю необходимо:

  • Устройство под управлением Windows 10 (версия 19044.1618 или более поздняя), Windows 11, Windows Server 2019 или Windows Server 2022;
  • Наличие зарегистрированного и активного Microsoft Defender for Endpoint на устройстве;
  • Наличие на компьютере Microsoft Defender версии 4.18.2203 или более поздней;

На тестирование Microsoft дает администратору 3 часа после начала устранения неполадок на устройстве. Любые новые изменения применятся автоматически. Сценарии режима устранения неполадок Microsoft Defender for Endpoint включают:

  • диагностику проблем установки приложений;
  • уменьшение нагрузки процессора из-за Windows Defender (MsMpEng.exe);
  • уменьшение времени выполнения действий приложений;
  • Предотвращение блокировки определенных доменов сетевой защитой.

«
Дополнительные файлы диагностики будут доступны после устранения неполадок. Файлы включают в себя снапшот до и после MpPreferences и MpLogs. Ваш администратор может собрать файлы диагностики с помощью функции Collect Investigation Packageну, - добавила компания.

»

Кроме того, Microsoft предоставила дополнительную информацию, которую нужно знать перед загрузкой представленного режима. Корпорация также указала возможные сценарии выполнения[4].

Microsoft Defender Preview для Android- и Windows-устройств

10 февраля 2022 года стало известно, что компания Microsoft выпустила приложение Microsoft Defender Preview для Android- и Windows-устройств. На 10 февраля 2022 года приложение доступно только в США, но, скорее всего, по мере тестирования оно будет доступно и в других странах.

Иллюстрация: securitylab.ru

Microsoft Defender – антивирусное решение от Microsoft, поставляющееся вместе с Windows уже довольно давно. Есть также версия Microsoft Defender ATP для Android-устройств, предназначенная исключительно для корпоративных пользователей.

Представленная превью-версия Microsoft Defender позволяет управлять безопасностью не только текущего устройства, но и всех остальных устройств, подключенных к одной учетной записи Microsoft. На домашней странице будут отображаться выводы о статусе защиты для всех устройств.

Если кликнуть на эту панель, откроется развернутая информация о статусе каждого устройства. В частности, здесь будет отображаться количество приложений и ссылок (на Android) или файлов (на Windows), просканированных за последние 24 часа. На Windows-устройстве также можно увидеть текущие настройки для защиты от вредоносного ПО и киберугроз, вымогательского ПО и пр. Также можно просмотреть историю безопасности, чтобы ознакомиться с прошлыми угрозами.

Для пользователей Windows представленное решение является не заменой Windows Security, а, скорее, дополнительным пользовательским интерфейсом, который в итоге сможет заменить встроенное приложение. Что касается Android, тот здесь польза антивируса довольно спорная, но, по крайней мере, благодаря ему пользователь может узнавать, что установил потенциально вредоносные приложения.

Одной из полезных функцией является возможность видеть статус безопасности всех устройств в одном месте. Это особенно удобно, когда одним ПК пользуются несколько человек. Пользователь может увидеть на своем телефоне, если другой пользователь загрузил или установил на компьютер вредоносную программу.

Жители США могут скачать Microsoft Defender Preview для Windows из Microsoft Store, а для Android - из Google Play Store. Windows-версию можно установить и за пределами США, но авторизоваться в приложении пока будет нельзя.[5]

2021

Интеграция с Illusive Active Defense

Компания Illusive 25 мая 2021 года анонсировала интеграцию своих технологий Active Defense в Microsoft Defender for Endpoint. Подробнее здесь.

Исправление уязвимости удаленного выполнения кода

13 января 2021 года стало известно о том, что Microsoft выпустила плановые обновления безопасности для своих продуктов. Январские патчи исправляют в общей сложности 83 уязвимости в ОС Windows, облачных продуктах, инструментах для разработчиков и корпоративных серверах.

Из всех исправленных уязвимостей самой серьезной является уязвимость нулевого дня в антивирусном решении Microsoft Defender, эксплуатировавшаяся хакерами еще до выхода исправления. CVE-2021-1647 представляет собой уязвимость удаленного выполнения кода, позволяющую злоумышленникам выполнить код на системе с уязвимым Microsoft Defender, заставив жертву открыть вредоносный документ.

Как сообщает Microsoft, хотя уязвимость уже используется в реальных атаках, техника ее эксплуатации применима не во всех случаях, а эксплоит все еще находится на уровне PoC. Однако это вовсе не означает, что он не может эволюционировать со временем в полноценный инструмент для более надежных атак.

С целью предотвращения возможных атак Microsoft выпустила патчи для Microsoft Malware Protection Engine. Обновление установится автоматически и не требует участия пользователя, за исключением случаев, когда оно было заблокировано администратором.

Январские патчи также исправляют уязвимость чтения за пределами выделенной области памяти в Windows, раскрытую проектом Trend Micro Zero-Day Initiative. CVE-2021-1648 позволяет локальному атакующему раскрывать чувствительную информацию. Для эксплуатации уязвимости злоумышленник сначала должен получить возможность выполнять на атакуемой системе код с низкими привилегиями.

Хотя уязвимость была раскрыта 15 декабря 2020 года, каких-либо свидетельств ее эксплуатации в реальных атаках до января 2021 года не обнаружено.Однако системным администраторам настоятельно рекомендуется установить исправление во избежание возможных последствий в будущем[6].

2019: Windows Defender переименован в Microsoft Defender

В июле 2019 года Microsoft объявила о переименовании своего сервиса Windows Defender, который в русифицированных операционных системах Windows называется «Защитник Windows». Продукт получил название Microsoft Defender.

Полный ребрендинг произойдет в апреле 2020 года с выходом обновления Windows 10 20H1 Update. Но переименование началось уже в июле 2019-го: например, компонент Windows Defender Exploit Guard стал Microsoft Defender Exploit Guard.

Microsoft переименовала «Защитника Windows»

Как заметили обозреватели сайта deskmodder.de, нововведение также замечено в редакторе локальных групповых политик Windows 10, где можно видеть разделы для Microsoft Defender Antivirus и Microsoft Defender Exploit Guard.

Функциональность осталась и останется прежней, несмотря на смену название. Однако вместе с новым именем «Защитник Windows» получит ряд новых возможностей, о которых Microsoft расскажет позднее.

Некоторые компоненты к 22 июля 2019 года сохраняют названия: Windows Defender Firewall with Advanced Security, Windows Defender Application Guard, Windows Defender SmartScreen и др.

Американская корпорация занялась переименованием потому, что сервис стал доступен не только на устройствах под управлением Windows. Например, программное решение можно установить на компьютеры Apple.

«
Ежегодно мы инвестируем $1 млрд, чтобы обеспечить наших клиентов защитной платформой мирового уровня. Windows Defender выходит за пределы Windows. Именно поэтому мы решили переименовать «Защитник Windows», чтобы отразить кроссплатформенную суть наших продуктов, — говорится в сообщении Microsoft.
»

Ранее «Центр безопасности Защитника Windows» был переименован в «Безопасность Windows»

Microsoft еще прежде начала проводить ребрендинг, показывающий желание компании не ограничиваться поддержкой Windows в своих продуктах. Так, загрузчик Arrow для Android-приложений стал называться Microsoft Launcher.[7]

2018: Запуск в виртуализированной среде Windows 10

29 октября 2018 года портал Securitylab сообщил, что «Защитник Windows» (Windows Defender) теперь может запускаться в виртуализированной среде в Windows 10 версии 1703 и выше. Антивирус стал продуктом безопасности, поддерживающим данную возможность.

Поместив Windows Defender в «песочницу», производитель усложнил злоумышленникам задачу доступа к критически важным системным модулям, поскольку изолированные приложения не могут взаимодействовать с остальной частью системы и имеют крайне ограниченный доступ к ресурсам памяти и к файловой системе.

Данная мера является ответным шагом Microsoft на рекомендации многочисленных экспертов по безопасности, неоднократно описывавших методы, с помощью которых злоумышленники могут воспользоваться уязвимостями в антивирусе Windows Defender для удаленного выполнения кода.

Поддержка функции запуска Windows Defender в изолированной среде была добавлена в Windows 10 (версия 1703)[8].

2017: Функция защиты от вирус-шифровальщиков

В июне 2017 года стало известно о планах Microsoft оснастить Windows Defender новой функцией защиты от шифровальщиков. Технология Controlled Folder Access (контролируемый доступ к папкам), которая будет запущена осенью 2017 года, позволит полностью блокировать какие-либо изменения в защищенных каталогах Windows со стороны неавторизованных приложений. Новая технология призвана защищать данные от троянцев-шифровальщиков.

Предварительная версия этой технологии была добавлена в Windows 10 Insider Preview Build 16232. [9]

Стало известно о планах Microsoft оснастить Windows Defender новой функцией защиты от шифровальщиков

Принцип работы CFA весьма прост: в случае если какое-либо приложение пытается внести изменения в содержимое защищенных папок, Windows Defender сопоставляет это приложение со своими «белыми списками» (то есть со списками приложений, которым разрешается вносить такие изменения) и, если этого приложения там нет, вся его деятельность немедленно блокируется, а сама программа заносится в черный список.

По умолчанию защищены «ключевые» пользовательские папки — «Рабочий стол», «Документы», «Изображения» и «Видео». Снять защиту с них невозможно. Пользователь по своему выбору может заносить в список защищенных любые другие папки.

Что касается авторизованных или неавторизованных приложений, то, как утверждают в Microsoft, большая часть существующих сегодня легитимных программ уже находится в белом списке. Windows Defender позволит произвольно заносить новые приложения в «белые списки» самому пользователю, но это рекомендуется делать лишь в самых исключительных случаях.

«
Тут сразу возникает вопрос, насколько просто или сложно будет самим пользователям отключать эту функцию, — говорит Георгий Лагода, генеральный директор компании SEC-Consult Services. — Злоумышленники могут с помощью социальной инженерии пытаться заставлять пользователей либо вносить их вредоносные программы в списки доверенных, что сделает систему фактически беззащитной. Существует масса примеров тому, как злоумышленники обманом заставляли пользователей активировать отключенные по умолчанию макросы в Microsoft Office, открывая тем самым путь для успешной атаки.
»

Георгий Лагода так же отметил, что пользователи Windows нередко вовсе отключают Windows Defender при установке стороннего антивируса.

Технология Controlled Folder Access будет добавлена в Windows в октябре-ноябре этого года, вместе массивным обновлением Windows 10, носящим кодовое название Redstone 3 или Fall Creators Update. Данную функцию придется активировать вручную.

2011: Бета-версия

Компания Microsoft выпустила в декабре 2011 года свежую бета-версию продукта Windows Defender Offline, обеспечивающего надежную защиту Windows-систем от шпионских приложений. Приложение запускается с DVD-диска или с портативного USB-носителя и обеспечивает быструю и тщательную проверку компьютера до загрузки ОС.

Многим пользователям хорошо знаком продукт Windows Defender. Этот интегрированный компонент операционных систем Vista и Windows 7 позволяет обнаруживать и удалять вредоносные программы, а также предотвращать их проникновение в систему. Главным недочетом стандартного «защитника» является тот факт, что он запускается уже после загрузки ОС и не может противостоять наиболее изощренным угрозам. Этот недостаток исправлен в приложении Windows Defender Offline.

Продукт Windows Defender Offline проверит компьютер на наличие скрытых и малозаметных угроз, таких как руткиты или вирусы, которые не требуют постоянно активного процесса и срабатывают при включении компьютера или в произвольный момент времени. Для того чтобы оценить преимущества предлагаемого решения, пользователь должен записать программу на сменный носитель и обеспечить ее запуск перед загрузкой операционной системы. Подготовить приложение к работе смогут даже начинающие. Удобный интерфейс «защитника» шаг за шагом проведет пользователя через весь процесс создания загрузочного диска или «флешки».

Должным образом настроенная утилита прерывает стандартный процесс загрузки Windows и выводит на экран знакомый интерфейс Windows Defender. Отсюда пользователь может инициировать быстрое, полное или выборочное сканирование операционной системы Windows. Разработчики уверяют, что такой подход не оставит глубоко внедрившимся вредоносным программам ни единого шанса на выживание.

Примечания



СМ. ТАКЖЕ (6)


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Softline (Софтлайн) (203)
  ESET (ИСЕТ Софтвеа) (118)
  Лаборатория Касперского (Kaspersky) (77)
  Инфосистемы Джет (55)
  ДиалогНаука (51)
  Другие (891)

  R-Vision (Р-Вижн) (4)
  Card Security (Кард Сек) (4)
  Национальный аттестационный центр (НАЦ) (4)
  Инфосистемы Джет (3)
  Softline (Софтлайн) (3)
  Другие (53)

  А-Реал Консалтинг (3)
  Deiteriy (Дейтерий) (2)
  Информзащита (2)
  Лаборатория Касперского (Kaspersky) (2)
  TUV Austria (2)
  Другие (40)

  Инфосистемы Джет (6)
  Уральский центр систем безопасности (УЦСБ) (4)
  Compliance Control (Комплаенс контрол) (3)
  Inspect (3)
  МСС Международная служба сертификации (3)
  Другие (42)

  Инфосистемы Джет (4)
  Уральский центр систем безопасности (УЦСБ) (4)
  МСС Международная служба сертификации (2)
  BI.Zone (Безопасная Информационная Зона, Бизон) (2)
  Bureau Veritas (1)
  Другие (28)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Лаборатория Касперского (Kaspersky) (42, 366)
  ESET (ИСЕТ Софтвеа) (21, 141)
  Доктор Веб (Dr.Web) (17, 61)
  UserGate, Юзергейт (ранее Entensys) (3, 19)
  Fortinet (11, 15)
  Другие (365, 140)

  R-Vision (Р-Вижн) (1, 4)
  Trend Micro (2, 3)
  Лаборатория Касперского (Kaspersky) (2, 3)
  Fortinet (2, 1)
  F.A.C.C.T. (ранее Group-IB в России) (1, 1)
  Другие (3, 3)

  Лаборатория Касперского (Kaspersky) (4, 5)
  А-Реал Консалтинг (1, 3)
  BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
  UserGate, Юзергейт (ранее Entensys) (1, 1)
  R-Vision (Р-Вижн) (1, 1)
  Другие (1, 1)

  Лаборатория Касперского (Kaspersky) (2, 4)
  UserGate, Юзергейт (ранее Entensys) (1, 4)
  CloudLinux (1, 1)
  F.A.C.C.T. (ранее Group-IB в России) (1, 1)
  Другие (0, 0)

  UserGate, Юзергейт (ранее Entensys) (1, 3)
  Лаборатория Касперского (Kaspersky) (1, 1)
  BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
  Другие (0, 0)

Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)

За всю историю
2021 год
2022 год
2023 год
Текущий год

  ESET NOD32 - 140 (26, 114)
  Kaspersky Business Space Security - 87 (87, 0)
  Kaspersky Endpoint Security - 81 (81, 0)
  Kaspersky Security - 81 (81, 0)
  Dr.Web антивирус - 62 (12, 50)
  Другие 126

  R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4 (4, 0)
  Kaspersky Industrial CyberSecurity (KICS) - 2 (2, 0)
  Trend Micro: Deep Discovery - 2 (2, 0)
  Kaspersky Total Security - 1 (1, 0)
  Group-IB Threat Hunting Framework (ранее Threat Detection Service, TDS) - 1 (1, 0)
  Другие 4

  Kaspersky Endpoint Security - 3 (3, 0)
  А-Реал Консалтинг: Интернет-шлюз ИКС - 3 (3, 0)
  R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 1 (1, 0)
  Kaspersky Industrial CyberSecurity (KICS) - 1 (1, 0)
  Kaspersky IoT Secure Gateway - 1 (1, 0)
  Другие 2

  UserGate UTM - 4 (4, 0)
  Kaspersky Endpoint Security - 3 (3, 0)
  Kaspersky Security - 2 (2, 0)
  CloudLinux Imunify360 - 1 (1, 0)
  Другие 0

  UserGate UTM - 3 (3, 0)
  BI.Zone CESP (Cloud Email Security & Protection) - 1 (1, 0)
  Другие 0