Microsoft Defender, darmowe rozwiązanie antywirusowe wbudowane w każdy system Windows, znów znalazł się w centrum uwagi specjalistów ds. bezpieczeństwa. Przełom kwietnia i maja 2026 roku przyniósł serię incydentów, które poważnie podważają zaufanie do tego narzędzia. Od masowych fałszywych alarmów niszczących certyfikaty systemowe, przez krytyczną lukę umożliwiającą przejęcie kontroli nad komputerem, po ciągle odkrywane metody omijania zabezpieczeń – problemy narastają. Dla użytkowników domowych i małych firm, którzy polegają wyłącznie na Defenderze, te wydarzenia powinny być sygnałem ostrzegawczym.
W tym artykule szczegółowo omówimy trzy główne zagrożenia związane z Microsoft Defender, które ujawniły się w ostatnich tygodniach, a także pokażemy szerszy kontekst problemów technicznych tego rozwiązania.
O Microsoft Defender szeroko pisaliśmy też w tych artykułach:
- Microsoft Defender – Czy darmowa ochrona wystarczy? Poznaj ukryte ograniczenia
- Microsoft Defender od kuchni: Luki techniczne, CVE i metody obejścia, o których musisz wiedzieć
- Microsoft Defender na celowniku: Jak hakerzy wyłączają Twoją ochronę w 2026 roku?
- Microsoft Defender kontra profesjonalne rozwiązania: Kompleksowe porównanie 2026
Spis treści
- Masowe fałszywe alarmy: Gdy Defender niszczy legalne certyfikaty
- Luka RedSun: Gdy ochrona staje się bramą dla atakującego
- Szerszy kontekst: Inne podatności i metody omijania Defendera
- Podsumowanie: Czy można polegać na Defenderze w 2026 roku?
Masowe fałszywe alarmy: Gdy Defender niszczy legalne certyfikaty
Co się stało 30 kwietnia 2026 roku?
Pod koniec kwietnia 2026 roku tysiące użytkowników Windows na całym świecie doświadczyły bezprecedensowego incydentu. Microsoft Defender, po aktualizacji definicji sygnatur z 30 kwietnia, zaczął masowo zgłaszać fałszywe alarmy, identyfikując legalne certyfikaty główne firmy DigiCert jako złośliwe oprogramowanie. Zagrożenie otrzymało nazwę Trojan:Win32/Cerdigent.A!dha, a skutki tego błędu były daleko idące.
Problem nie ograniczał się tylko do fałszywego ostrzeżenia. Defender automatycznie usuwał certyfikaty z magazynu zaufanych certyfikatów głównych w rejestrze systemowym Windows (konkretnie z lokalizacji HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\). Dla przeciętnego użytkownika brzmi to jak techniczna abstrakcja, ale skutki były bardzo realne.
Dlaczego to jest poważny problem?
Certyfikaty główne (root CA) to fundament bezpiecznej komunikacji w internecie. Odpowiadają za walidację połączeń SSL/TLS, które chronią nas podczas logowania do banku, robienia zakupów online czy korzystania z poczty e-mail. Gdy Defender usuwał te certyfikaty, całe łańcuchy zaufania były niszczone.
Użytkownicy zgłaszali szereg problemów: niemożność dostępu do zabezpieczonych stron internetowych, błędy przy weryfikacji podpisów cyfrowych aplikacji, a także ostrzeżenia o niezaufanych połączeniach sieciowych. Niektórzy administratorzy, zaniepokojeni lawiną alertów, podejmowali drastyczne kroki – od wymuszania kwarantanny całych dysków, po reinstalację systemu operacyjnego.
Zidentyfikowane certyfikaty, których dotyczył błąd, to m.in. te oznaczone skrótami SHA1: 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43 oraz DDFB16CD4931C973A2037D3FC83A4D7D775D05E4.
Jak do tego doszło? Przyczyna incydentu
Za fałszywymi alarmami stał błąd w reakcji Microsoft na wcześniejsze, realne zagrożenie. W kwietniu 2026 roku DigiCert poinformował o naruszeniu bezpieczeństwa, w wyniku którego atakujący uzyskali dostęp do około 60 certyfikatów typu EV Code Signing – używanych do podpisywania aplikacji. Część tych certyfikatów została wykorzystana przez grupę APT o nazwie GoldenEyeDog (APT-Q-27) do dystrybucji złośliwego oprogramowania Zhong Stealer.
Microsoft, reagując na to realne zagrożenie, stworzył sygnaturę detekcji, która miała identyfikować skompromitowane certyfikaty do podpisywania kodu. Problem polegał na tym, że sygnatura była zbyt ogólna i przez pomyłkę objęła również certyfikaty główne DigiCert, które są kluczowym elementem infrastruktury zaufania w systemie Windows. To klasyczny przypadek nadmiernie agresywnej reguły, która wyrządziła więcej szkód niż pożytku.
Reakcja Microsoft: Szybka naprawa, ale szkody już powstały
Microsoft szybko zareagował na falę zgłoszeń. Firma wydała poprawioną wersję definicji sygnatur oznaczoną numerem Security Intelligence 1.449.430.0. Aktualizacja nie tylko wycofała błędną detekcję, ale również automatycznie przywróciła usunięte certyfikaty do magazynu systemowego.
W oficjalnym oświadczeniu Microsoft przyznał, że „detekcje zostały dodane omyłkowo” i że po aktualizacji logiki oraz wyciszeniu fałszywych alertów, użytkownicy nie muszą podejmować żadnych dalszych działań. Mimo szybkiej naprawy, incydent ten pokazał, jak jedno nieprzemyślane działanie giganta z Redmond może sparaliżować systemy milionów użytkowników na całym świecie.
Luka RedSun: Gdy ochrona staje się bramą dla atakującego
Czym jest luka RedSun?
Druga połowa kwietnia 2026 roku przyniosła ujawnienie jeszcze poważniejszego zagrożenia. Badacz bezpieczeństwa znany jako Chaotic Eclipse opublikował szczegóły luki o nazwie kodowej RedSun, która umożliwia lokalną eskalację uprawnień (LPE – Local Privilege Escalation). W praktyce oznacza to, że atakujący posiadający podstawowy dostęp do systemu może wykorzystać tę lukę do uzyskania najwyższych możliwych uprawnień – poziomu SYSTEM.
Co istotne, exploit działał na w pełni zaktualizowanych systemach Windows z aktywnym, działającym Microsoft Defender. To szczególnie niepokojące, ponieważ pokazuje, że jedna z funkcji ochronnych Defendera może być wykorzystana jako wektor ataku.
Jak działa exploit RedSun? Mechanizm ataku krok po kroku
Exploit RedSun jest wyrafinowany i wykorzystuje mechanizmy samego Defendera do przeprowadzenia ataku. Oto uproszczony opis działania:
Krok 1: Stworzenie pliku-wabika. Atakujący używa interfejsu Cloud Files API do utworzenia pliku oznaczonego jako pochodzący z chmury. W pliku tym umieszczany jest testowy ciąg znaków (np. znany ciąg testowy EICAR), który gwarantuje, że Defender go wykryje jako zagrożenie.
Krok 2: Detekcja przez Defendera. Microsoft Defender, zgodnie ze swoim przeznaczeniem, identyfikuje plik jako złośliwy i podejmuje działania ochronne. W pewnych warunkach, zamiast trwale usunąć plik, Defender może podjąć próbę jego przywrócenia do pierwotnej lokalizacji.
Krok 3: Wykorzystanie race condition. W tym momencie atakujący wykorzystuje mechanizm opportunistic lock (oplock) – zaawansowaną technikę synchronizacji dostępu do plików. Pozwala to „wygrać wyścig” z procesem tworzenia kopii zapasowej (Volume Shadow Copy) i przejąć kontrolę nad operacją w kluczowym momencie.
Krok 4: Przekierowanie zapisu. Zamiast przywrócić plik w oryginalnym miejscu, exploit przekierowuje operację zapisu na krytyczny plik systemowy, na przykład C:\Windows\system32\TieringEngineService.exe. W rezultacie legalny plik systemowy zostaje nadpisany złośliwym kodem.
Krok 5: Eskalacja uprawnień. Gdy system operacyjny uruchamia zmodyfikowany plik – nieświadomy podmiany – wykonuje go z uprawnieniami SYSTEM. Atakujący otrzymuje pełną kontrolę nad maszyną.
Kontekst ujawnienia: Protest wobec polityki Microsoft
Ujawnienie RedSun miało miejsce krótko po tym, jak ten sam badacz odkrył inną podobną lukę o nazwie BlueHammer, która została naprawiona przez Microsoft w aktualizacji z 14 kwietnia 2026 roku. Publikacja dowodu działania (Proof-of-Concept) dla RedSun była formą protestu przeciwko standardowym procedurom Microsoft Security Response Center (MSRC) w zakresie obsługi zgłoszeń podatności.
Niezależny badacz bezpieczeństwa Will Dormann potwierdził działanie exploita. Co więcej, firma Huntress zajmująca się cyberbezpieczeństwem raportowała obserwacje wykorzystania podobnych metod w rzeczywistych atakach, co potwierdza powagę zagrożenia.
Czy powinienem się martwić? Wpływ na użytkowników
RedSun to luka lokalna – sama w sobie nie pozwala na zdalne włamanie do komputera przez internet. Atakujący musi najpierw uzyskać podstawowy dostęp do systemu, na przykład poprzez phishing, złośliwy załącznik e-mail lub exploit przeglądarki.
Mimo to, RedSun stanowi idealne narzędzie dla cyberprzestępców w drugiej fazie ataku (tzw. post-exploitation). Po wstępnym włamaniu pozwala na przełamanie wszystkich zabezpieczeń i przejęcie całkowitej kontroli nad systemem. Dla firm i użytkowników przechowujących wrażliwe dane, to scenariusz katastroficzny.
Szerszy kontekst: Inne podatności i metody omijania Defendera
Luki w silniku skanującym (mpengine.dll)
Problemy z Defenderem nie ograniczają się tylko do dwóch opisanych incydentów. Rdzeń antywirusa, biblioteka mpengine.dll, działa z najwyższymi uprawnieniami systemowymi, co czyni ją atrakcyjnym celem dla atakujących. Błędy w tym komponencie mogą prowadzić do krytycznych luk w zabezpieczeniach.
W ostatnich latach zidentyfikowano szereg podatności w mpengine.dll, w tym:
CVE-2020-1163 i CVE-2020-1170 – błędy umożliwiające lokalną eskalację uprawnień, które pozwalały złośliwemu oprogramowaniu przejąć kontrolę nad systemem.
CVE-2024-49071 – luka prowadząca do nieautoryzowanego ujawnienia zawartości plików. Atakujący mógł wykorzystać tę podatność do odczytania wrażliwych danych bez wiedzy użytkownika.
CVE-2025-62221 – podatność eskalacji uprawnień w sterowniku Cloud Files Mini Filter, który jest częścią infrastruktury ochronnej Defendera. Pokazuje to, że nawet zaawansowane mechanizmy ochronne mogą stać się wektorami ataku.
Zaawansowane techniki obchodzenia zabezpieczeń (Bypass)
Cyberprzestępcy nie tylko wykorzystują luki w kodzie, ale również stosują coraz bardziej wyrafinowane techniki w celu uniknięcia detekcji przez Defendera:
Manipulacja pamięcią RAM. Złośliwy kod jest ukrywany w obszarach pamięci oznaczonych jako niedostępne (PAGE_NOACCESS). Defender, nie skanując tych obszarów regularnie, nie wykrywa zagrożenia. W momencie wykonania, pamięć jest dynamicznie przepisywana na dostępną, kod wykonuje swoje operacje i ponownie się ukrywa.
Bezpośrednie wywołania systemowe (Direct Syscalls). Atakujący pomijają standardowe mechanizmy WinAPI, które są monitorowane przez Defendera, komunikując się bezpośrednio z jądrem systemu operacyjnego. Ta technika jest szczególnie popularna w zaawansowanych atakach typu ransomware i APT.
Living off the Land (LotL). Wykorzystanie zaufanych, wbudowanych narzędzi systemowych (np. PowerShell, certutil, bitsadmin) do wykonania złośliwych operacji. Ponieważ Defender nie może uznać całego PowerShella za zagrożenie, odróżnienie ataku od legalnej aktywności administracyjnej jest niezwykle trudne.
Bring Your Own Vulnerable Driver (BYOVD). Atakujący wprowadzają do systemu stary, podatny na ataki sterownik, który następnie wykorzystują do wyłączenia lub manipulacji procesami ochronnymi Defendera. Ta metoda jest szczególnie skuteczna, ponieważ sterowniki działają na poziomie jądra systemu, gdzie mają nieograniczone uprawnienia.
Błędy konfiguracyjne: Gdy użytkownik sam osłabia ochronę
Nawet najlepsze narzędzie zabezpieczające jest bezużyteczne, gdy jest źle skonfigurowane. W przypadku Microsoft Defender, skuteczność ochrony jest silnie uzależniona od prawidłowej konfiguracji. Powszechne błędy, które osłabiają bezpieczeństwo, to:
Zbyt szerokie listy wykluczeń. W celu poprawy wydajności systemu, użytkownicy często wykluczają całe foldery (np. profile użytkowników, foldery projektów programistycznych) z skanowania. To tworzy „ślepe punkty”, w których złośliwe oprogramowanie może działać bez przeszkód.
Brak ochrony przed manipulacją (Tamper Protection). Wyłączenie funkcji Tamper Protection pozwala złośliwemu oprogramowaniu na samodzielne dezaktywowanie lub modyfikację ustawień Defendera po infekcji. Jest to pierwsza rzecz, jaką robi zaawansowane malware po uzyskaniu dostępu do systemu.
Konflikty polityk grupowych (GPO/Intune). W środowiskach korporacyjnych niespójne lub błędnie skonfigurowane zasady zarządzania mogą prowadzić do sytuacji, w której kluczowe moduły ochrony zostają cicho wyłączone. Administratorzy często nie zdają sobie sprawy z tego problemu, dopóki nie dojdzie do incydentu bezpieczeństwa.
Podsumowanie: Czy można polegać na Defenderze w 2026 roku?
Wydarzenia z kwietnia i maja 2026 roku pokazują, że Microsoft Defender, mimo bycia rozwiązaniem darmowym i wbudowanym w system Windows, wciąż boryka się z poważnymi problemami. Masowe fałszywe alarmy niszczące certyfikaty systemowe, krytyczna luka RedSun umożliwiająca przejęcie kontroli nad komputerem oraz ciągle odkrywane metody omijania zabezpieczeń – to nie są pojedyncze incydenty, ale symptomy głębszych problemów strukturalnych.
Dla użytkowników domowych i małych firm, którzy nie dysponują dedykowanymi zespołami IT, kluczowe jest zrozumienie ograniczeń Microsoft Defendera. Rozwiązanie to może zapewnić podstawowy poziom ochrony, ale nie powinno być traktowane jako jedyny element strategii bezpieczeństwa.
Co możesz zrobić?
Regularnie aktualizuj system. Choć to oczywiste, wiele incydentów bezpieczeństwa wynika z braku aktualnych łat. Microsoft wydaje poprawki regularnie, ale tylko zaktualizowany system może z nich skorzystać.
Włącz ochronę przed manipulacją (Tamper Protection). Ta funkcja utrudnia złośliwemu oprogramowaniu wyłączenie Defendera. Znajdziesz ją w ustawieniach Windows Security → Virus & threat protection → Manage settings.
Ogranicz listy wykluczeń do minimum. Jeśli nie musisz wykluczać folderu z skanowania, nie rób tego. Każde wykluczenie to potencjalna luka w ochronie.
Rozważ warstwowe podejście do bezpieczeństwa. Żadne pojedyncze narzędzie nie zapewni 100% ochrony. Zastanów się nad dodatkowymi warstwami zabezpieczeń: firewall innych firm, monitoring ruchu sieciowego, regularne kopie zapasowe danych.
Edukuj się w zakresie cyberbezpieczeństwa. Najskuteczniejszym narzędziem ochrony jest świadomy użytkownik. Większość ataków zaczyna się od phishingu lub socjotechniki – technik, które można powstrzymać, znając ich mechanizmy. O problemach Microsoft Defender oraz jego porównania do oprogramowania innych producentów szczegółowo pisaliśmy tutaj.
Korzystaj z profesjonalnych rozwiązań. Marki takie jak Norton, Avast czy AVG oferują szereg różnych rozwiązań – darmowych i płatnych. Prócz podstawowej ochrony oprogramowanie umożliwia także czyszczenie dysku, blokowanie śledzenia czy VPN.
Microsoft Defender ewoluuje i z każdą aktualizacją staje się lepszy. Jednak incydenty takie jak fałszywe alarmy DigiCert czy luka RedSun przypominają, że w świecie cyberbezpieczeństwa nie ma miejsca na samozadowolenie. Pozostań czujny, aktualizuj system i nie lekceważ ostrzeżeń
Materiał przygotowany przez CORE - Norton, Avast i AVG w Polsce