Антивирусы могут удалять системные файлы Windows

Антивирусы могут удалять системные файлы из-за уязвимости в системе обнаружения вирусов

ИБ-компания SafeBreach Labs обнаружила уязвимость, которая позволяет превратить EDR-продукты и антивирусы в вайперы, удаляющие системы файлы. Для этого потребуется создать на жёстком диске каталог-приманку.

В каталоге-приманке создаётся ссылка, похожая на символическую (симлинк) – например, C:\temp\Windows\System32\drivers и C:\Windows\System32\drivers. Также туда помещается вредоносный файл без указания дескриптора. После этого каталог-приманка удаляется, а во время перезагрузки антивирусное ПО стирает файлы, находящиеся в «целевом» каталоге.

Эта уязвимость обнаружена в Microsoft Defender, Microsoft Defender for Endpoint, Trend Micro Apex One, Avast и AVG.