Windows Defender стал оружием: три 0-day за 13 дней, два до сих пор не исправлены

За две недели апреля 2026 года в открытый доступ были выложены три рабочих эксплойта, превращающих Microsoft Defender из защитника в инструмент атаки. Все три уязвимости позволяют обычному пользователю без прав администратора получить полный контроль над системой с правами SYSTEM. Наиболее критично то, что в двух случаях антивирус используется не как цель для обхода, а как механизм доставки вредоносного кода. Defender, обладая собственными высокими привилегиями, сам записывает вредоносный файл в системную директорию C:\Windows\System32, просто выполняя команду злоумышленника.

На момент публикации информации два из трёх эксплойтов всё ещё остаются без официального патча от Microsoft. Компания Huntress, специализирующаяся на кибербезопасности, уже фиксирует попытки использования этих уязвимостей в реальных атаках. Это указывает на то, что угроза перешла из теоретической в практическую плоскость, создавая непосредственный риск для корпоративных парков Windows-машин.

Ситуация создаёт серьёзное давление на Microsoft и подрывает доверие к базовому компоненту безопасности операционной системы. Для системных администраторов и специалистов по информационной безопасности это означает необходимость срочной оценки рисков и поиска временных мер защиты, так как стандартное обновление антивирусных баз не решает проблему на уровне ядра. Эпизод демонстрирует, как встроенные средства защиты с высокими привилегиями могут быть использованы против самой системы, что требует пересмотра архитектурных принципов безопасности.