W pierwszym artykule przyjrzeliśmy się funkcjonalnym brakom Microsoft Defendera, wskazując na jego słabszą ochronę przed phishingiem i brak narzędzi takich jak VPN. W drugim wpisie zeszliśmy głębiej, analizując techniczne podatności silnika mpengine.dll i teoretyczne metody obejścia zabezpieczeń.
W tym artykule omówimy brutalną rzeczywistość. Zamiast teorii, skupimy się na tym, co dzieje się „tu i teraz”. Pokażemy, jak grupy przestępcze i ransomware aktywnie wykorzystują luki systemowe, by neutralizować Defendera, oraz dlaczego poleganie wyłącznie na wbudowanych mechanizmach Windowsa staje się coraz bardziej ryzykowne.
Spis treści
- To nie błąd, to strategia: Atak na łańcuch zabezpieczeń
- Twój własny system przeciwko Tobie
- Luki systemowe jako wytrych do antywirusa
- Obrona w praktyce: Wyścig z czasem
- Dlaczego warto wybrać spokój?
Część pierwsza | Część druga | Część trzecia | Część czwarta
To nie błąd, to strategia: Atak na łańcuch zabezpieczeń
Współczesne ataki rzadko polegają na znalezieniu jednej, magicznej „dziury” w samym antywirusie. Zamiast tego, cyberprzestępcy traktują Defendera jako przeszkodę do usunięcia w szerszym łańcuchu ataku. Raporty z lat 2024–2025 pokazują niepokojący trend: luki i słabości, które tylko pośrednio dotyczą Defendera, są masowo wykorzystywane do jego całkowitego wyłączenia.
Grupy APT (Advanced Persistent Threat) oraz operatorzy ransomware nie bawią się w subtelności. Stosują techniki takie jak BYOVD (Bring Your Own Vulnerable Driver), polegające na wgrywaniu do systemu legalnych, ale dziurawych sterowników, które następnie służą do wyłączenia procesów ochronnych z poziomu jądra systemu. W użyciu są również dedykowane skrypty PowerShell oraz tzw. „EDR-killery” – narzędzia zaprojektowane specjalnie do oślepiania systemów detekcji i reagowania.
Twój własny system przeciwko Tobie
Jednym z najbardziej podstępnych scenariuszy obserwowanych w ostatnich kampaniach jest wykorzystanie… konfiguracji samego Defendera. Po wstępnym przełamaniu zabezpieczeń (np. przez phishing), napastnicy nie zawsze instalują od razu złośliwe oprogramowanie. Zamiast tego, po cichu dodają własne wyjątki (exclusions) do ustawień antywirusa.
Dzięki temu mogą bezkarnie uruchamiać złośliwe biblioteki DLL czy trojany typu RAT (Remote Access Trojan) w katalogach, które Defender ma nakazane ignorować. Co gorsza, wykorzystują do tego wbudowane narzędzia systemowe, co sprawia, że ruch ten wygląda dla administratora jak legalna aktywność.
Luki systemowe jako wytrych do antywirusa
CISA (Agencja ds. Cyberbezpieczeństwa i Infrastruktury) regularnie ostrzega przed lukami w komponentach Windows, które są aktywnie wykorzystywane „in the wild”. W 2025 roku głośno było m.in. o luce w sterowniku Cloud Files Mini Filter (CVE-2025-62221) pozwalającej na lokalną eskalację uprawnień, czy krytycznym błędzie RCE w usłudze WSUS (CVE-2025-59287).
Jaki to ma związek z Defenderem? Bezpośredni. Gdy atakujący uzyska dzięki takiej luce uprawnienia administratora lub SYSTEM, zyskuje pełną kontrolę nad maszyną. Wtedy może po prostu wyłączyć usługę antywirusową, zmodyfikować rejestr systemowy blokując aktualizacje sygnatur, lub całkowicie usunąć ochronę. W takim scenariuszu Defender staje się bezbronny, bo jego fundament – bezpieczny system operacyjny – został skompromitowany.
Obrona w praktyce: Wyścig z czasem
Jak się bronić? Teoretycznie recepta jest prosta: natychmiastowe instalowanie poprawek z „Patch Tuesday”, monitorowanie katalogu znanych podatności (KEV) oraz „utwardzanie” konfiguracji Defendera (włączenie Tamper Protection, reguł ASR, minimalizacja wyjątków).
W praktyce jednak jest to nieustanny wyścig z czasem. Wystarczy jedno opóźnienie w aktualizacji lub jeden błąd w konfiguracji wyjątków, by otworzyć furtkę dla ransomware. Dla małych firm i użytkowników domowych utrzymanie takiego reżimu sanitarnego jest niezwykle trudne i czasochłonne.
Dlaczego warto wybrać spokój?
W obliczu tak zaawansowanych i wielowektorowych ataków, poleganie na rozwiązaniu, które jest integralną częścią atakowanego systemu, staje się ryzykowne. Microsoft Defender, będąc elementem Windowsa, dzieli z nim jego słabości i podatności.
Dlatego właśnie najlepszą strategią obronną jest dywersyfikacja i wybór niezależnych, kompleksowych rozwiązań. Pakiety takie jak Norton, Avast czy AVG działają na innej architekturze niż systemowe narzędzia Microsoftu, co czyni je znacznie trudniejszym celem dla ataków typu „EDR-killer” czy manipulacji systemowych.
Wybierając oprogramowanie kompleksowe, zyskujesz nie tylko antywirusa, ale całą fortecę: od silnika odpornego na techniki BYOVD, przez niezależny firewall, aż po ochronę tożsamości i VPN. To rozwiązanie typu „zainstaluj i zapomnij” – zamiast martwić się o ręczne łatanie luk w sterownikach czy konfigurację wyjątków, otrzymujesz gotowy, szczelny parasol ochronny dla nawet 10 urządzeń. Kupując u polskiego dystrybutora, masz pewność, że Twoje cyfrowe bezpieczeństwo jest w rękach profesjonalistów, a Ty możesz spać spokojnie, wiedząc, że Twoja ochrona nie zostanie wyłączona jedną komendą w PowerShellu.
Część pierwsza | Część druga | Część trzecia | Część czwarta
Materiał przygotowany przez CORE - Norton, Avast i AVG w Polsce