Phần mềm diệt virus Microsoft Defender nay đã biết “bảo vệ chính mình” khỏi malware

Microsoft đã bổ sung một lớp bảo vệ chống giả mạo nhằm ngăn chặn các phần mềm độc hại (malware) vô hiệu hoá những tính năng bảo mật quan trọng của hệ thống.

Microsoft mới đây đã bổ sung thêm tính năng bảo vệ chống giả mạo vào sản phẩm phần mềm chống virus Microsoft Defender Advanced Threat Protection (ATP) của mình nhằm ngăn chặn một chiến thuật phổ biến của các phần mềm độc hại, đó là vô hiệu hoá các phần mềm chống virus được cài đặt trên máy tính.

Tính năng mới này có thể được kích hoạt bằng cách bật tuỳ chọn 'Tamper Protection' (Bảo vệ chống giả mạo) trong ứng dụng Windows Security.

Chức năng này có tác dụng ngăn ngừa các phần mềm độc hại (malware) thay đổi những thiết lập cốt lõi của hệ thống, trong đó tiêu biểu là tính năng bảo vệ theo thời gian thực, mà theo Microsoft là "rất hiếm khi cần phải tắt".

Có khá nhiều malware trên thế giới tìm cách xâm nhập vào hệ thống bằng cách vô hiệu hoá các tính năng bảo mật của máy tính, chẳng hạn như malware DoubleAgent dựa vào một tính năng dành cho nhà phát triển Windows để tắt hàng loạt phần mềm diệt virus như Avast, AVG, Avira, Bitdefender, Trend Micro, Comodo, ESET, F-Secure, Kaspersky, Malwarebytes, McAfee, Panda và Norton.

Gần đây nhất, người ta đã phát hiện một malware đào tiền ảo trên nền tảng Linux được thiết kế để vô hiệu hoá các sản phẩm chống malware dành cho nền tảng này, cùng với đó là một trojan nhắm vào hệ điều hành macOS, có khả năng vô hiệu hoá tính năng bảo mật GateKeeper được Apple tích hợp sẵn trong hệ điều hành của mình.

Chức năng bảo vệ chống giả mạo của Defender ATP còn có khả năng ngăn chặn các phần mềm độc hại vô hiệu hoá hệ thống nhận diện malware dựa trên đám mây của Microsoft cũng như các dịch vụ bảo vệ máy tính khỏi các lỗ hổng zero-day. Malware cũng không thể tắt một tính năng của Windows giúp phát hiện các tập tin giả mạo từ Internet, hay xoá bỏ các bản vá bảo mật đã được cài đặt trên máy tính.

Mặc dù Microsoft Defender ATP là một sản phẩm dành cho khối doanh nghiệp, nhưng chức năng bảo vệ chống giả mạo này cũng sẽ được cung cấp cho người dùng Windows bản Home và sẽ được kích hoạt theo mặc định.

Nhóm người dùng doanh nghiệp sẽ cần phải kích hoạt Tamper Protection một cách thủ công, và người quản trị hệ thống có thể điều khiển tính năng này thông qua console quản lý Intune. Nhằm ngăn chặn các phần mềm độc hại vô hiệu hoá luôn chính tính năng bảo vệ này, người dùng cuối sẽ không thể thay đổi các thiết lập về nó – chỉ người quản trị hệ thống mới có quyền làm như vậy.

Thực tế, Microsoft đã giới thiệu chức năng bảo vệ chống giả mạo thông qua chương trình thử nghiệm Windows Insider từ tháng 12 December, một thời gian ngắn sau khi tung ra tính năng cho phép hệ thống chống virus của Microsoft chạy trong môi trường "hộp cát" ảo (sandbox) nhằm ngăn khôgn cho những kẻ tấn công lợi dụng lỗ hổng bên trong phần mềm Defender để chiếm quyền điều khiển hệ thống.

Microsoft cho biết người dùng đã có thể thử nghiệm tính năng này bằng cách cài đặt các phiên bản build thử nghiệm của chương trình Windows Insider được phát hành từ tháng 3 năm 2019 trở về sau.; 

Phần mềm bảo mật virus của Microsoft ban đầu có tên là Windows Defender ATP, nhưng tuần trước hãng đã quyết định đổi tên thành Microsoft Defender ATP sau khi công bố phần mềm này sẽ hỗ trợ cho các máy tính macOS.

Quang Huy