Разработчики из Microsoft и Mozilla совместными усилиями решили проблему совместимости антивирусного приложения Windows Defender и браузера Firefox, о которой впервые стало известно около пяти лет назад. Речь идёт об ошибке в службе Antimalware Service Executable (MsMpEng.exe) антивируса, из-за которой существенно возрастала нагрузка на процессор при использовании Firefox.

Источник изображения: Shutterstock

Согласно имеющимся данным, исправление этой ошибки начало распространяться на этой неделе и вскоре оно станет доступным всем пользователям. По словам представителя Mozilla, после установки обновления эффективность процесса MsMpEng.exe повышается на 75 % при одновременном использовании Firefox.

Ранее Microsoft признала проблему, связанную с тем, что функция онлайн-защиты фирменного антивируса использует слишком много процессорного времени. Нынешнее обновление помогает сократить нагрузку на процессор, что должно быть ощутимо заметно при использовании Firefox. Сам же браузер пострадал сильнее от этого бага из-за того, что он генерирует в 7 раз больше событий Event Tracing for Windows в сравнении с конкурентами, такими как Chrome или Edge. Эти события обрабатываются функцией антивируса VirtualProtect, из-за чего и происходит увеличение нагрузки на процессор.

Источник изображения: Mozilla

Хотя нынешнее обновление помогает решить проблему, разработчики из Mozilla планируют сократить количество процессов, генерируемых Firefox. Отмечается, что проблемы с производительностью могут возникать при использовании Firefox и других антивирусов с поддержкой VirtualProtect, например, продуктами Norton.

Неустановленные злоумышленники, связанные с разработчиками шифровальщика LockBit 3.0, используют инструмент командной строки в антивирусе Windows Defender для загрузки в скомпрометированную систему маяков Cobalt Strike, коммерческого инструмента для пентестирования, который активно используется хакерами. Об этом пишет издание CNews со ссылкой на данные компании SentinelOne.

Источник изображения: Pixabay

Согласно имеющимся данным, злоумышленники используют инструмент MpCmdRun.exe для расшифровки и загрузки Cobalt Strike в систему жертвы. Однако использование Windows Defender является лишь одним из этапов хакерской схемы. Сначала злоумышленники компрометируют системы VMWare Horizon Server, на которых отсутствует исправление для уязвимости Log4j. Хакеры модифицируют компонент Blast Secure Gateway, устанавливая веб-шелл с помощью кода PowerShell.

После проникновения в систему хакеры осуществляют выполнение ряда команд и запускают инструменты пост-эксплуатации, включая Meterpreter и PowerShell Empire. Далее злоумышленники загружают с удалённого сервера вредоносный DLL, зашифрованный вредоносный модуль и легитимный инструмент — MpCmdRun.exe, снабжённый рабочей цифровой подписью. Что касается вредоносного DLL, то речь идёт о библиотеке mpclient.dll, которая особым образом модифицирована. MpCmdRun.exe загружает библиотеку автоматически и с её помощью расшифровывает основное тело активного элемента Cobalt Strike, скрытое в файле C0000015.log.

«Защитникам необходимо иметь в виду, что операторы LockBit и их партнёры исследуют и используют новые инструменты «living off the land», т.е. легитимные локальные средства, для загрузки маяков Cobalt Strike, успешно обходя некоторые типичные EDR-системы и антивирусы», — сказано в сообщении SentinelOne. Ранее в этом году эксперты SentinelOne предупреждали, что операторы LockBit используют утилиту VMwareXferlogs.exe (легитимный инструмент системы виртуализации VMware, используемый для обмена данными с логами VMX) для загрузки маяков Cobalt Strike.