Интегрированный в операционную систему Windows бесплатный антивирус Microsoft Defender известен многим пользователям ещё со времён Windows XP. Решение пережило многочисленные изменения и сегодня активно используется. Тем не менее, по данным AV-Comparatives, данный продукт намного хуже справляется с защитой, если компьютер не подключен к Сети.

Источник изображения: Microsoft

AV-Comparatives занимается тестированием программного обеспечения, предназначенного для обеспечения компьютерной безопасности. Недавно проведённое исследование потребительского антивирусного ПО Malware Protection Test показало интересные результаты. Тест предусматривал тестирование основных антивирусных платформ на образцах вредоносного ПО, сбор логов и оценку эффективности защиты пользователей от цифровых угроз.

Источник изображения: AV-Comparatives

В список протестированных экспертами AV-Comparatives продуктов вошли хорошо известные бренды вроде Avira, AVG, Avast, Bitdefender, Kaspersky и многие другие. Встроенный в Windows защитник Microsoft Defender тоже участвовал в испытаниях, но оказался далеко не самым лучшим. Так, по данным AV-Comparatives, он занял третье с конца место по эффективности офлайн-распознавания вирусов (69,8 %), опередив Panda (52,8 %) и Trend Micro (41,1 %).

Важно, что при подключении к ресурсам глобальной сети и облачной инфраструктуре Defender продемонстрировал блестящие результаты, распознавая и защищая от 98,1 % и 99,99 % угроз соответственно — многие платные антивирусы показали себя хуже.

Источник изображения: AV-Comparatives

Известно, что недавно AV-Comparatives изменила технологию проверок, отдавая приоритет не только способности обнаружения угроз, но и уровню защиты. В частности, тесты теперь проверяют, может ли антивирусное программное обеспечение предотвратить вносимые вредоносным ПО изменения в систему.

По результатам тестирования с 10019 образцами вредоносного софта, Microsoft Defender сумел справиться со всеми угрозами кроме одной, но только будучи подключенным к облачным сервисам. 100 % уровень защиты показали Avast, AVG, G Data и McAfee, а Trend Micro не справился с 259 образцами.

Также AV-Comparatives выделила все антивирусы в четыре группы в зависимости от количества ложноположительных срабатываний каждой программы. Microsoft Defender отличается «множеством» подобных откликов (19), поэтому в данном тесте он достиг только уровня Advanced, хотя в предыдущих тестах достигал Advanced+.

Стало известно, что недавно Microsoft выпустила проблемное обновление баз данных сигнатур для фирменного антивируса Defender. После установки этого обновления антивирус ошибочно определял угрозу в Chrome, Edge, WhatsApp, Discord, Spotify, а также других приложениях на базе Chromium и Electron.

Источник изображения: Microsoft

Согласно имеющимся данным, установка обновления антивируса приводила к тому, что Microsoft Defender ошибочно обнаруживал угрозу «Behavior: Win32/Hive.ZY» в разных приложениях. При этом проверка антивирусом и другие действия, направленные на устранение проблемы, не приносили результата. На это указывают многочисленные сообщения пользователей, которые обратились за помощью в службу поддержки Microsoft, а также рассказали о возникшей проблеме в Reddit и других сообществах.

Источник изображения: Windows Central

В сообщении сказано, что проблема возникала после установки баз данных сигнатур под номером 1.373.1508.0 (KB2267602), распространение которых началось 4 сентября. Отмечается, что с проблемой после установки этого пакета столкнулись не все пользователи. Тем же, кто столкнулся с этой проблемой, не стоит беспокоиться. Дело в том, что Microsoft признала наличие бага и даже выпустила соответствующее исправление. Ожидается, что оно будет распространено на пользовательские компьютеры в ближайшее время.

Корпорация Microsoft выпустила новое кроссплатформенное приложение Defender, предназначенное для обеспечения кибербезопасности и ориентированное на потребительский рынок. Программный продукт представляет собой антивирус и упрощённую панель управления для защиты от киберугроз сразу всех пользовательских устройств.

Источник изображений: Microsoft

Начиная с сегодняшнего дня Microsoft Defender стал доступен подписчикам Microsoft 365 Personal и Microsoft 365 Family, которые используют для взаимодействия с облачным сервисом устройства, работающие под управлением Windows, macOS, iOS и Android. В зависимости от используемого устройства возможности антивирусного приложения могут отличаться. Так в Defender для iOS и iPadOS отсутствует антивирусная защита, но имеются другие средства обеспечения кибербезопасности, включая защиту от фишинга.

Android-версия Defender имеет встроенную антивирусную защиту, в том числе инструмент сканирования системы на наличие вредоносных приложений и защиту от фишинга. Что касается Windows, то здесь новое приложение в основном действует как панель мониторинга, которая не препятствует работе встроенного в операционную систему антивируса. Панель Defender в Windows позволит просматривать данные антивирусного ПО сторонних разработчиков, таких как Norton или McAfee, а также управлять средствами обеспечения безопасности на подключённых устройствах. Ожидается, что новинка будет полезна для людей, которым требуется обеспечить защиту нескольких устройств, контролируя настройки безопасности с помощью простой панели управления.

«Расширение нашего портфолио безопасности с помощью Microsoft Defender для частных лиц — это естественный и увлекательный процесс нашего развития как компании, специализирующейся на обеспечении безопасности. Это только начало. В будущем мы продолжим объединять новые средства защиты на единой панели управления, включая такие функции, как защита от кражи личных данных и безопасное подключение к интернету», — сказал Васу Джаккал (Vasu Jakkal), корпоративный вице-президент Microsoft по безопасности.

Похоже, что антивирус Microsoft Defender for Endpoint может вызывать ряд серьёзных проблем на компьютерах, работающих под управлением Windows 10 20H2. На это указывают пользовательские сообщения, первые из которых появились около месяца назад.

Источник изображения: Microsoft

Сообщается, что Microsoft Defender может приводить к чрезмерному использованию памяти. В некоторых случаях при авторизации в системе может появляться чёрный экран, препятствующий дальнейшей загрузке в течение примерно 2 минут. Ещё пользователи сообщают, что периодически Word 2016 и более поздние версии приложения могут не запускаться или загружаться продолжительное время. Аналогичным образом ведёт себя инструмент «Просмотр событий».

По всей видимости, проблема с чрезмерным использованием памяти связана с багом, приводящим к утечке памяти, о котором Microsoft уже было известно. Предполагается, что впервые эта проблема фиксировалась в сборке Windows 10 под номером 1.363.177.0 и тогда разработчики выпустили исправление. Судя по пользовательским обращениям, проблема с чрезмерным использованием памяти вновь актуальна, поэтому следует ожидать, что в скором времени Microsoft выпустит патч для её устранения.

Отмечается, что проблема чрезмерного использования памяти связана с исполняемым файлом службы защиты от вредоносного ПО MsMpEng.exe. В ряде случаев временным решением проблемы с чрезмерным использованием памяти может быть отключение защиты в режиме онлайн.

Вчера обеспечивающее киберзащиту приложение Microsoft Defender for Endpoint начало распознавать обновления для пакета Office как программу-вымогателя. Антивирус ошибочно принимал файл OfficeSvcMgr.exe за вредоносное ПО.

Источник изображения: Microsoft

Проблема обнаружилась, когда системные администраторы начали получать уведомления о попытке внедрения вымогательского ПО после обновления антивируса Microsoft Defender for Endpoint. Как только количество жалоб достигло определённого предела, в Microsoft начали работать над устранением сбоя и подтвердили, что речь идёт о «ложно-положительной» реакции.

Представитель компании Стив Шольц (Steve Scholz), обрисовал проблему в одном из тредов Reddit, рассказав, что с утра 16 марта многие пользователи Microsoft Defender for Endpoint начали получать уведомления, связанные с активностью программ-вымогателей. В Microsoft определили, что срабатывания ложные, и обновили «облачную логику» для корректировки проблемы.

В одном из ответов в той же ветке Шольц объяснил, что проблема была вызвана погрешностями кода, которые с тех пор устранили.

В антивирусе Microsoft Defender исправлена уязвимость, сообщения о которой появились примерно месяц назад, хотя некоторые специалисты обнаружили её признаки ещё около 8 лет тому назад. Данная уязвимость позволяла запускать произвольный вредоносный код, не вызывая оповещений антивируса.

Источник изображения: Jan Alexander / pixabay.com

Принцип работы уязвимости относительно прост — она позволяла размещать файлы вредоносного ПО в папках, недоступных Microsoft Defender. Такие папки обычно служат для размещения обычных программ, которые по разным причинам вызывают ложные срабатывания антивируса, так что их приходится исключать из сканирования.

Проблема данного подхода заключается в том, что запись реестра, содержащая список таких исключений, была доступна группе «Все», а это значит, что локальные пользователи вне зависимости от их привилегий могли его просматривать. Заранее зная, где Microsoft Defender точно не будет искать, оставалось разместить вредоносы по данным расположениям. Соответственно, эксплуатировать данную уязвимость мог только тот, у кого был физический доступ к компьютеру.

Как сообщил ресурс BleepingComputer со ссылкой на эксперта по кибербезопасности SecGuru_OTX, к настоящему моменту данная уязвимость была исправлена. Специалист компании SentinelOne Антонио Кокомацци (Antonio Cocomazzi) предположил, что проблема была устранена с выпущенным во вторник пакетом обновлений Windows. Аналитик Уилл Дорманн (Will Dormann), однако, заявил, что некоторые настройки разрешений системы изменились без установки обновлений Windows — возможно, это была сделано средствами Microsoft Defender.

Как сообщается, уязвимость затрагивала системы Windows 10 21H1 и Windows 10 21H2, а в Windows 11 она не наблюдалась.

Microsoft разрабатывает ПО не только для собственной ОС Windows, но и для других популярных платформ, включая Android и macOS. В описании предварительной версии Defender в магазине Microsoft Store появилось упоминание двух этих систем.

Источник изображения: twitter.com/ALumia_Italia

В Microsoft Store есть предварительная версия Microsoft Defender Preview, издателем которой указана Microsoft. В описании программы говорится: «Безопасность, упрощённая. Microsoft Defender — ваша личная защита от цифровых угроз. Защитите свои устройства на [разных] операционных системах, включая Windows, macOS и Android». Windows Defender — антивирусная программа для ПК под управлением Windows, которая превратилась из весьма посредственного продукта в одно из лучших решений на рынке. А Microsoft, похоже, хочет повторить её успех на других платформах.

Итальянское издание Aggiornamenti Lumia опубликовало промо-слайды Defender, на которых указано, что программа сможет использоваться для сканирования файлов на компьютерах Mac и мобильных устройствах Android. На слайдах также указана функция «Веб-защита» — она, возможно, указывает на то, что антивирус также будет сканировать веб-страницы и оценивать их безопасность.

Многие продукты и сервисы Microsoft уже доступны на разных платформах: на Android есть Bing, Edge, Office и корпоративный мессенджер Teams. Для macOS также доступен пакет Office. Поэтому не исключено, что кроссплатформенным станет и фирменный антивирус.

Microsoft представила основанную на искусственном интеллекте систему обнаружения вредоносных программ-вымогателей для антивируса Defender. Система дополняет облачную защиту, дополнительно оценивая риски и блокируя угрозы.

Источник изображения: Gerd Altmann / pixabay.com

Управляемые человеком программы-вымогатели характеризуются особым набором методов и маркеров поведения, поэтому в Microsoft решили для обнаружения атак данного типа использовать потенциал искусственного интеллекта. Обычно атака начинается с внедрения файла, который обеспечивает удалённый доступ к компьютеру жертвы. Однако не все используемые в атаках файлы заранее известны как вредоносные — некоторые из них вообще вредоносными не являются. Поэтому генерируемые этими файлами маркеры могут считаться низкоприоритетными и игнорироваться антивирусным ПО. Решающую роль может сыграть дополнительная адаптивная защита на основе искусственного интеллекта, способная обнаруживать необычное поведение стандартных программ.

В отличие от традиционной облачной защиты, которая настраивается вручную, новая система является адаптивной — она может автоматически повышать или понижать агрессивный характер доставляемых через облако решений о блокировке, основываясь на данных, полученных в режиме реального времени, и прогнозов платформы машинного обучения. Даже если алгоритм не сможет оценить реальную величину угрозы, и злоумышленник достигнет своего, система всё равно станет препятствием для атаки: когда машина уже взломана, система может переключиться в наиболее агрессивный режим и заблокировать полезную нагрузку вредоносов, предотвратив шифрование важных данных и файлов.

В новой операционной системе Microsoft появилось немало передовых функций. Судя по последним утечкам в социальной сети Twitter, в скором времени пользователи ОС получат новую систему защиты от сетевых и иных угроз — очередную версию Microsoft Defender.

neowin.net

Судя по скриншоту, опубликованному итальянским Twitter-каналом Aggiornamenti Lumia, некоторым пользователям уже доступна версия нового Microsoft Defender Preview для предварительного тестирования, получившая кодовое имя GibraltarApp. Новый Defender обеспечит пользователям «простую, незаметную и персонализированную защиту».

Ещё до официального релиза Windows 11 стало понятно, что Microsoft стала крайне серьёзно подходить к вопросам обеспечения безопасности. К железу компьютеров предъявляются жёсткие требования: необходимо наличие модуля TPM 2.0, поддержка технологий VBS и Secure Boot, а также процессоров, поддерживающих технологии Mode-based Execution Control (MBEC) или Guest Mode Execute Trap (GMET).

neowin.net

Примечательно, что используемый сейчас в Windows 11 защитник Microsoft Defender внешне очень похож на вариант, применяемый в Windows 10 — он уже получил немало негативных откликов пользователей, включая жалобы на его роль в сбоях работы системы. Не исключено, что именно это не в последнюю очередь побудило компанию выпустить новую версию.

О доступности нового варианта, даже в виде Microsoft Defender Preview, сведения пока отсутствуют. Судя по всему, сначала он будет доступен в бета-канале для участников программы Windows Insider — с учётом того, что именно они также первыми получили возможность опробовать использование Android-приложений в среде Windows 11.

Разработчики печально известного бэкдора SolarMarker (Jupyter) буквально заполонили интернет тысячами PDF-файлов с десятками тысяч страниц ключевых запросов и ссылок, ведущих к вредоносным программам. Последние воруют пароли и персональные данные.

linkedin.com

Команда Microsoft Security Intelligence предупредила пользователей постом в Twitter о том, что разработчики вредоносного ПО SolarMarker используют старую технику SEO poisoning с новыми целями. Изначально в качестве хостинга использовался Google Sites, позже злоумышленники перешли на платформы Amazon Web Services (AWS) и Strikingly.

Ещё в апреле были обнаружены тысячи уникальных страниц, содержащих популярные термины/запросы, например — «шаблон», «счёт-фактура», «рецепт», «опросник» и «резюме». Преступники использовали тактику SEO-продвижения, чтобы привести бизнес-пользователей на более, чем 100 000 сайтов на хостинге Google. С сайтов на компьютеры пользователей устанавливался троян для удалённого доступа, позднее с помощью него инфицировались информационные системы целых корпораций, устанавливались банковские трояны и другое вредоносное ПО.

Текущая схема работает по схожему принципу. PDF-документы созданы таким образом, что попадают в самый верх поисковой выдачи. Злоумышленники наполнили файлы всевозможными поисковыми запросами, с более 10 000 словосочетаний — от «форма страхования» и «согласие с условиями контракта» до «ответов на математические задачи».

Найденные в поиске страницы или PDF-файлы побуждают пользователей перейти по ссылке якобы для загрузки необходимого документа — тоже в формате PDF или DOC. После клика пользователь перенаправляется через пять-семь сайтов с доменами вроде .site, .tk, и .ga на ресурс, имитирующий страницу Google Drive, где он и загружает вредоносную программу, обычно — SolarMarker, которая и выполняет оставшуюся часть «грязной работы».

Разработчики антивируса Microsoft Defender утверждают, что их ПО заблокировало тысячи подобных PDF. Тем, кто не использует Microsoft Defender Antivirus или Microsoft Defender for Endpoint разработчики рекомендуют настроить то антивирусное ПО, которое они применяют, для обнаружения соответствующих угроз.

Компания Microsoft объявила о расширении поддержки антивируса Defender for Endpoint (ранее известен как Defender Advanced Threat Protection) на Windows 10 для устройств, в основе которых находятся процессоры на архитектуре ARM. Таким образом, фирменный антивирус Microsoft теперь доступен всем пользователям устройств, работающих под управлением Windows 10 на ARM.

Microsoft считает важным переход на ARM-устройства, поскольку эффективность архитектуры позволяет использовать устройства разного форм-фактора и помогает людям адаптироваться к новой гибридной рабочей среде. По мнению разработчиков, безопасность таких устройств является одной из первостепенных задач.

«Технология ARM обеспечивает цифровую трансформацию благодаря новым инновационным форм-факторам, улучшенным возможностям подключения и мобильной связи, технологии мгновенного включения и удивительному времени автономной работы. Эти элементы также позволяют организациям поддерживать переход к удалённой работе и гибридной рабочей среде — переход, требующий ориентированного на безопасность мышления. Поскольку мы продолжаем двигаться вперёд в новой гибридной рабочей среде, безопасность должна быть неотъемлемой частью этого движения», — говорится в сообщении разработчиков.

Microsoft также отметила, что версия антивируса для ARM-устройств будет иметь такую же компоновку и функции, что и вариант для компьютеров x86. Это означает, что пользователям Windows на ARM будут доступны те же функции безопасности и инструменты аналитики, имеющиеся в стандартной версии Microsoft Defender.

Разработчики из Microsoft продолжают прилагать усилия для устранения недавно обнаруженных уязвимостей в Exchange Server, которые используются злоумышленниками для атак на электронные почтовые ящики организаций по всему миру. На этот раз были внесены изменения в работу антивируса Microsoft Defender, который теперь автоматически устраняет одну из четырёх уязвимостей нулевого дня в случае её обнаружения.

Речь идёт о CVE-2021-26855, уязвимости подделки запросов на стороне сервера (SSRF) в Exchange, эксплуатация которой позволяет отправлять произвольные HTTP-запросы и проходить аутентификацию. Это одна из четырёх опасных уязвимостей Exchange Server, которые активно используются злоумышленниками для совершения атак на разные компании и организации, поэтому Microsoft рекомендует пользователям не затягивать с обновлением антивирусного программного обеспечения.

«Сегодня мы предприняли дополнительный шаг для поддержки наших клиентов, которые всё ещё используют уязвимые серверы Exchange и не успели установить соответствующий патч безопасности. Благодаря последнему обновлению антивирус Microsoft Defender и System Center Endpoint Protection автоматически устраняют уязвимость CVE-2021-26855 на любом уязвимом сервере Exchange, где они развёрнуты. Клиентам не нужно предпринимать никаких действий, кроме проверки того, что они используют последнюю версию антивирусного ПО (сборка 1.333.747.0 или новее)», — говорится в сообщении Microsoft.

Разработчики также отмечают, что наиболее надёжным вариантом защиты серверов Exchange от атак злоумышленников через обнаруженные недавно уязвимости является установка накопительных обновлений для этого ПО, которые были выпущены ранее в этом месяце.

Стало известно о том, что разработчики из Microsoft исправили опасную уязвимость в своём фирменном антивирусе, которая затрагивала все версии Microsoft Defender, начиная с 2009 года. Уязвимости, которая отслеживалась с идентификатором CVE-2021-24092, связана с повышением привилегий в Microsoft Defender с последующим получением прав администратора в атакуемой системе.

Изображение: Getty Images

Упомянутая уязвимость была обнаружена специалистами американской компании SentinelOne, работающей в сфере информационной безопасности, в ноябре прошлого года. Злоумышленники с правами пользователя могли использовать её для проведения атак низкой сложности, которые не предполагают какого-либо взаимодействия с жертвой. Однако для эксплуатации CVE-2021-24092 хакеру необходимо иметь удалённый или физический доступ к целевому устройству. Согласно имеющимся данным, проблема затрагивала не только Microsoft Defender, но и другие продукты безопасности, в том числе Microsoft Endpoint Protection, Microsoft Security Essentials и Microsoft System Center Endpoint Protection.

Уязвимость, которую более десяти лет не удавалось обнаружить, находилась в драйвере BTR.sys, который также известен как средство удаления загрузочного времени. Он используется антивирусом в процессе устранения выявленных угроз для удаления файлов и записей реестра, созданных вредоносным программным обеспечением.

По мнению исследователей, проблема оставалась скрытой так долго, потому что уязвимый драйвер не хранится на жёстком диске постоянно. Вместо этого он является частью библиотеки динамической компоновки (Dynamic Link Library) в Windows, которая используется антивирусом только в случае необходимости. Microsoft и SentinelOne не нашли никаких подтверждений того, что упомянутая уязвимость использовалась злоумышленниками на практике.

Исправление CVE-2021-24092 стало частью февральского патча безопасности, который был выпущен в рамках программы Patch Tuesday на этой неделе.

По сообщениям сетевых источников, корпоративная версия антивируса Microsoft Defender ATP по неустановленным причинам определяет последнее обновление для браузера Google Chrome как бэкдор. Речь идёт о Chrome 88.0.4324.146, последней версии обозревателя, распространение которой началось на этой неделе.

Согласно имеющимся данным, проблема была обнаружена вскоре после начала массового развёртывания очередной версии Chrome. В процессе получения обновлений системные администраторы разных организаций обратили внимание на то, что Defender ATP идентифицирует часть файлов пакета обновления Chrome, как общие компоненты бэкдора PHP/Funvalget.A.

Источник отмечает, что такое поведение антивируса вызвало настоящий переполох в корпоративной среде, поскольку за последнее время было выявлено множество атак на программное обеспечение, затрагивающих компании по всему миру. В настоящее время системные администраторы ожидают, когда Microsoft подтвердит, что срабатывание антивируса было ложным и обновление Chrome не является реальной угрозой.

Вероятнее всего, срабатывание Defender ATP действительно было ошибочным, но в случае с корпоративными системами лучше получить официальное подтверждение этого до начала распространения обновления на устройства пользователей. Официальные представители Microsoft пока воздерживаются от комментариев по данному вопросу.

Стало известно о том, что компания Microsoft намерена перевести свою фирменную корпоративную платформу Microsoft Defender для конечных точек по умолчанию в полностью автоматический режим работы. Это означает, что она будет автоматически обрабатывать и удалять все обнаруженные угрозы и подозрительные файлы. Изменения вступят в силу 16 февраля этого года.

Согласно имеющимся данным, решение об изменении режима работы Microsoft Defender по умолчанию было принято после исследования, которое показало, что организации, использующие полную автоматизацию, успешнее справляются с устранением и сдерживанием разного рода угроз. В настоящее время Microsoft Defender для конечных точек по умолчанию работает в полуавтоматическом режиме и в некоторых случаях запрашивает подтверждение пользователя для выполнения определённых действий.

«Данные, собранные и проанализированные за последний год, показывают, что у организаций, использующих полную автоматизацию, было удалено на 40 % больше образцов вредоносного программного обеспечения, чем у клиентов, использующих более низкие уровни автоматизации. Полная автоматизация также высвобождает критически важные ресурсы безопасности наших клиентов, чтобы они могли сосредоточиться на своих стратегических инициативах», — говорится в сообщении Microsoft.

Разработчики считают, использующие полную автоматизацию Microsoft Defender клиенты лучше справляются с предотвращением негативного воздействия вредоносного ПО. Это связано с тем, что обнаруженные угрозы обрабатываются автоматически и для их устранения не требуется вмешательство сотрудников службы информационной безопасности.