Es posible abusar de los privilegios de SYSTEM / TrustedInstaller para manipular o eliminar la configuración de WdFilter (regkey ALTITUDE) y descargar el minidriver del kernel para desactivar la protección contra manipulaciones y otros componentes de Defender. Esto también afecta a Defender for Endpoint (MDE) de Microsoft, cegando a MDE de la telemetría y la actividad realizada en un objetivo.
Esta vulnerabilidad, durante las pruebas se encontró que afecta a las siguientes versiones de Windows:
- Windows Server 2022 hasta BuildLabEx Versión: 20348.1.amd64fre.fe_release.210507-1500 (actualización de abril de 2024).
- Windows Server 2019
- Windows 10 hasta BuildLabEx Versión: 19041.1.amd64fre.vb_release.191206-1406 (actualización de abril de 2024)
- Windows 11 hasta BuildLabEx Versión: 22621.1.amd64fre.ni_release.220506-1250 (actualización de septiembre de 2023).
- Blog explicando el bypass y POC: https://www.alteredsecurity.com/post/disabling-tamper-protection-and-other-defender-mde-components