Tvrđava pod opsadom: Kako napadači koriste “rupe” u Microsoft Defenderu da preuzmu kontrolu nad Windows sistemima

U svetu sajber bezbednosti, Microsoft Defender se dugo smatrao jednim od najpouzdanijih zaštitnika prosečnog korisnika. Međutim, najnoviji izveštaji bezbednosnih istraživača potresli su IT zajednicu: potvrđeno je postojanje tri kritična propusta koji direktno ciljaju srce Windows zaštite. Dok je jedan (CVE-2026-33825) hitno zakrpljen, preostala dva se već aktivno koriste u napadima “u divljini”, ostavljajući milione sistema ranjivim.

Ovo nije samo još jedan običan bezbednosni propust; ovo je direktan napad na alat koji bi trebalo da nas brani.

Anatomija pretnje: Od eskalacije do sabotaže

Ono što ovaj talas napada čini posebno opasnim jeste njihova sinergija. Napadači ne koriste ove propuste izolovano, već ih kombinuju u lanac koji potpuno neutrališe odbranu računara.

1. CVE-2026-33825: Ključ za glavnu kapiju (Zakrpljen)

Prva karika u lancu bio je propust koji je omogućavao lokalnu eskalaciju privilegija (LPE). U normalnim uslovima, malver koji se pokrene pod običnim korisničkim nalogom ima ograničen pristup sistemu. Međutim, koristeći CVE-2026-33825, napadač može prevariti sistem i dobiti SYSTEM privilegije – najviši nivo pristupa koji postoji na Windowsu.

Iako je Microsoft izdao zakrpu, opasnost i dalje vreba za one koji odlažu ažuriranje sistema, jer je “exploit” kod postao javno dostupan.

2. Prvi nulti dan (Zero-Day): Nevidljivi zid za ažuriranja

Drugi propust, za koji još uvek nema zvaničnog rešenja, udara na samu vitalnost antivirusa – njegovu bazu definicija. Istraživači su otkrili metodu kojom napadač sa povišenim privilegijama može manipulisati Windows servisima tako da blokira Defenderove pokušaje da preuzme nove definicije virusa.

Najpodliji deo ovog napada je vizuelna obmana:

Korisnički interfejs i dalje pokazuje “zelenu kvačicu”.

Sistem prijavljuje da je “zaštićen”.

U pozadini, baza pretnji ostaje zamrznuta u vremenu, čineći Defender slepim za sve nove vrste malvera koji se pojave nakon trenutka blokade.

3. Drugi nulti dan: Tehnika “Zaslepljivanja” (Anti-EDR)

Treći propust omogućava napadačima da koriste funkcije kernela kako bi Defenderu zabranili pristup određenim memorijskim lokacijama ili folderima. Umesto da ugase antivirus (što bi izazvalo sumnju i alarme), napadači jednostavno “isecaju” delove sistema iz vidokruga Defendera. Malver može nesmetano da radi u tim “mrtvim uglovima”, dok Defender skenira sve ostalo i ne prijavljuje nikakve nepravilnosti.

Zašto je ovo opasnije od običnog virusa?

Kada se Defender pokvari “iznutra”, korisnik gubi primarni izvor poverenja u svoj računar. Napadi koji blokiraju ažuriranja i eskviliraju privilegije pretvaraju antivirus u takozvani “Zombie AV” – on je prisutan, troši resurse, ali ne vrši svoju funkciju.

Ove tehnike su ranije bile rezervisane za visokosofisticirane APT (Advanced Persistent Threat) grupe i državne aktere, ali činjenica da su istraživači potvrdili njihovu širu eksploataciju sugeriše da su se ovi alati našli u rukama običnih kriminalnih grupa koje se bave ransomware-om.

Kako se zaštititi dok čekate zakrpe?

Dok Microsoft inženjeri rade na rešavanju dva preostala propusta, korisnici i administratori moraju preuzeti proaktivne mere:

Hitno ažuriranje (Patch Management): Prvi korak je instalacija svih dostupnih ažuriranja kako bi se bar zatvorila rupa CVE-2026-33825.

Princip najmanjih privilegija: Smanjite broj korisnika sa administratorskim pravima. Ako malver ne može da dobije početno povišenje privilegija, teže će iskoristiti ostale nulte dane.

Eksterni nadzor: Koristite dodatne alate za nadzor mreže i integriteta fajlova. Ako Defender “ćuti”, mrežni firewall ili EDR (Endpoint Detection and Response) treće strane mogu primetiti neobičan saobraćaj ka komandnim serverima napadača.

Ručna provera verzije definicija: Ne verujte slepo zelenoj kvačici. Povremeno proverite datum poslednjeg ažuriranja definicija u podešavanjima. Ako je datum stariji od 24-48 sati, vaš sistem je možda pod uticajem blokade.

Zaključak: Kraj ere apsolutnog poverenja

Ovaj incident je bolan podsetnik da nijedan softver nije nepobediv, čak ni onaj koji dolazi iz najveće svetske softverske kompanije. Bitka između istraživača i napadača oko Microsoft Defendera je u punom jeku, a sledećih nekoliko nedelja će biti ključne za stabilnost Windows ekosistema.

Kao korisnici, naša najbolja odbrana je budnost i razumevanje da je bezbednost proces, a ne samo instaliran program na računaru.

Budući da ovi propusti (pogotovo nepzakrpljeni Zero-Day napadi) ciljaju specifičnu arhitekturu Microsoft Defender servisa i Windows sistemske pozive koje on koristi, prelazak na alternativno rešenje može biti pametan potez dok se ne objave sve zakrpe.

Evo najboljih alternativa koje koriste sopstvene engine i drajvere, te nisu ranjive na specifične “Defender-only” blokade:

1. Bitdefender (Antivirus Plus / Total Security)

Bitdefender se godinama smatra zlatnim standardom jer koristi veoma agresivan heuristički model.

Zašto je bezbedan: Koristi sopstvenu tehnologiju “Advanced Threat Control” koja prati procese u realnom vremenu. Čak i ako napadač pokuša da blokira sistemske update-ove, Bitdefender ima nezavisan mehanizam zaštite sopstvenih fajlova koji je veoma teško “zaslepiti”.

Prednost: Minimalno opterećenje sistema uz maksimalnu detekciju.

2. Kaspersky (Standard / Plus)

Iako je podložan geopolitičkim debatama, tehnički gledano, Kaspersky ima verovatno najmoćniji Anti-Block mehanizam.

Zašto je bezbedan: Poseduje “Self-Defense” modul koji je decenijama razvijan da spreči malver da isključi antivirus ili blokira njegove definicije. On radi na nižem nivou kernela nego što ovi specifični Defender exploiti trenutno targetiraju.

Prednost: Izuzetno brz odziv na nove nulte dane.

3. ESET NOD32 (Internet Security)

ESET je poznat po tome što je napisan u jeziku koji je izuzetno optimizovan, što mu omogućava da bude “lak” na resursima, a veoma čvrst u odbrani.

Zašto je bezbedan: Koristi HIPS (Host Intrusion Prevention System) koji direktno prati pokušaje eskalacije privilegija. On bi verovatno presreo pokušaj malvera da zloupotrebi propust CVE-2026-33825 pre nego što napadač uopšte dođe do faze blokiranja ažuriranja.

Prednost: Najbolji izbor za gejmere jer troši najmanje RAM-a.

4. Malwarebytes Premium

Iako je nekada bio samo alat za čišćenje, Premium verzija je sada punopravna zamena za antivirus.

Zašto je bezbedan: Malwarebytes koristi potpuno drugačiji pristup skeniranju u odnosu na Defender. Fokusira se na ponašanje (behavioral analysis) radije nego na same potpise virusa, što ga čini otpornim na “zaslepljivanje” definicija.

Napomena: Odlično radi u tandemu sa drugim alatima ako ipak odlučite da zadržite Defender kao sekundarnu zaštitu.

Šta uraditi nakon instalacije alternative?

Kada instalirate bilo koji od ovih programa, Windows će automatski prebaciti Defender u “Passive Mode” ili ga potpuno isključiti. To je u ovom trenutku dobra stvar, jer će kontrolu nad kritičnim sistemskim pozivima preuzeti drajver novog antivirusa koji nije pogođen navedenim ranjivostima.

Savet: Pre instalacije novog antivirusa, obavezno pokrenite ručno ažuriranje Windowsa jednom, kako biste bili sigurni da imate bar onu prvu zakrpu (CVE-2026-33825) pre nego što promenite softver.