Microsoft заблокировала обновления на устройствах с неправильно настроенными антивирусами

Microsoft сообщила, что системы с несовместимыми решениями безопасности не получат обновления безопасности для снижения риска атак Meltdown и Spectre, а также все последующие обновления безопасности в рамках Patch Tuesday до тех пор, пока разработчики продуктов не устранят проблему.

Чтобы предотвратить потенциальные взломы и угоны пользовательских данных с современных компьютеров, производители железа и софта начали рассылать патчи , максимально закрывающие дыры безопасности. Поскольку обновления изменяют код на уровне ядра, многие антивирусные приложения перестали работать после установки патчей.

Что же произошло?

Добиться совместимости антивируса можно за счет обновления и добавления специального ключа в системный реестр. Наличие специальной записи в реестре Windows указывает операционной системе, что антивирус является совместимым, поэтому патчи, исправляющие критические уязвимости Meltdown и Spectre в современных процессорах, становятся доступны для установки.

Чтобы производители антивирусного ПО не сидели сложа руки, Microsoft сообщила, что будет блокировать любые обновления безопасности на компьютерах с антивирусами, которые не изменили нужные ключи в реестре системы. Об этом компания написала в заметках к релизу недавних патчей:

Пользователи не получат обновления безопасности за январь 2018 (или любые дальнейшие обновления безопасности) и не будут защищены от уязвимостей безопасности до тех пор, пока разработчик антивирусного программного обеспечения не изменит следующие ключи реестра:

Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD”
Data="0x00000000”

Патчи уязвимстей Meltdown и Spectre привели к тому, что антивирусы больше не могут общаться с ядром по старому принципу. Поэтому разработчикам надо обновить свое программное обеспечение, чтобы оно соответствовало новым стандартам. Несовместимость приводит не только к прекращению работы самого антивируса, но и более серьезным последствиям, вроде постоянных синих экранов смерти или вовсе отсутствующей возможности включить компьютер.

Некоторые исследователи и эксперты по безопасности обеспокоены этой проблемой. Так исследователь безопасности Кевин Бомон дал развернутый комментарий по этому поводу:»Некоторые разработчики антивирусов используют техники для обхода защиты ядра (Kernel Patch Protection) путем инъекции гипервизора, использующегося для перехвата системных вызовов и предсказания местоположения в памяти. Данные места в памяти теперь изменяются при установке обновлений с исправлениями Meltdown. Честно говоря, некоторые из методов похожи на те, которые используются руткитами — Kernel Patch Protection была представлена Microsoft десять лет назад для борьбы с руткитами. Поскольку некоторые производители антивирусов используют очень сомнительные техники, это в свою очередь приводит к сбоям BSOD и бесконечным циклам перезагрузки».

Чтобы предостеречь пользователей от подобных проблем (у пользователей компьютеров с процессорами AMD Athlon уже болит голова из-за обновлений, выведших их строя операционную систему), Microsoft будет блокировать обновления до тех пор, пока разработчик антивируса не обновит код должным образом. Чтобы ускорить этот процесс, Софтверный гигант активно сотрудничает с производителями антивирусов.

Исправили ли ситуацию разработчики антивирусов

Avast, AVG, BitDefender, Avira, ESET, F-Secure, Kaspersky, Malwarebytes, Symantec и другие разработчики уже обновили свои приложения и числятся как совместимые. Вы можете проверить состояние своего антивируса в этом списке.

У пользователей несовместимых антивирусов есть два варианта: прекратить получать системные обновления безопасности, продолжая пользоваться антивирусом или переход на другое совместимое решение безопасности.

Однако, не стоит спешить отказываться от своего антивируса. На прошлой неделе Microsoft заявила, что антивирусным компаниям может потребоваться некоторые время для выпуска обновлений, пользователям рекомендуется проявить терпение.

Microsoft перестраховывается?

Стоит сказать, что ситуация получилась весьма неприятной. Microsoft сейчас находится между молотом и наковальней, поскольку не все антивирусы могут менять значения реестра в системе. Следовательно, пользователю придется самому вносить соответствующие изменения (что может закончится в лучшем случае ничем, если пользователь ошибется). Хотя сам антивирус и совместим с патчами, он может банально не иметь доступа к нужному ключу, из-за чего пользовательская машина останется без обновлений безопасности. Microsoft не хочет рассылать обновления, которые окирпичат компьютеры пользователей, но вместе с этим компания не желает оставлять пользователей без обновлений безопасности и потом отгребать за взломы, утечки и кражу личных данных. Блокировка апдейтов стала сложным решением для Microsoft, но это была вынужденная мера. Теперь компания должна как можно быстрее и эффективнее сотрудничать с разработчиками антивирусов, чтобы те получили верификацию и компьютеры пользователей могли свободно получить необходимые апдейты с заплатками.