Сотрудник компании SecurityByDefault из Испании по имени Яго Джесус обнаружил способ обхода защиты Windows Defender. Ещё в 2017 году в Windows 10 добавили функцию Controlled Folder Access. Но, как оказалось, она «не без греха». Эта функция, по идее, позволяет блокировать любые изменения в папках, указанных пользователем. Однако по неизвестной причине файлы пакета Microsoft Office не блокируются.

Это означает, что вне зависимости от блокировки они могут выполнять содержащийся в них код в виде макросов или OLE-объектов и, более того, изменять другие файлы.

Джесус представил три примера подобного поведения файлов. При этом спектр возможностей довольно широк: от простого копирования файлов до получения доступа. Если файл Office попадёт в папку (например, в виде спам-рассылки по почте) и будет определённым образом инфицирован, это позволит получать доступ не только к ней, но и к другим.

О своей находке Джесус сообщил в Microsoft. При этом там это не сочли нарушением безопасности, хотя и пообещали, что в будущем это будет исправлено.