Антивирусы могут удалять системные файлы Windows
Антивирусы могут удалять системные файлы из-за уязвимости в системе обнаружения вирусов
ИБ-компания SafeBreach Labs обнаружила уязвимость, которая позволяет превратить EDR-продукты и антивирусы в вайперы, удаляющие системы файлы. Для этого потребуется создать на жёстком диске каталог-приманку.
В каталоге-приманке создаётся ссылка, похожая на символическую (симлинк) – например, C:\temp\Windows\System32\drivers и C:\Windows\System32\drivers. Также туда помещается вредоносный файл без указания дескриптора. После этого каталог-приманка удаляется, а во время перезагрузки антивирусное ПО стирает файлы, находящиеся в «целевом» каталоге.
Эта уязвимость обнаружена в Microsoft Defender, Microsoft Defender for Endpoint, Trend Micro Apex One, Avast и AVG.