.jpg)
La sicurezza di Windows viene messa a dura prova da un nuovo strumento che sfrutta un punto debole nel sistema operativo di Microsoft. "Defendnot", questo il nome del tool, riesce a disattivare completamente Microsoft Defender senza installare alcun vero software antivirus alternativo. Il meccanismo sfrutta una debolezza nell'architettura di Windows che normalmente consente la coesistenza pacifica tra diversi software di protezione, trasformandola in una porta d'accesso per potenziali attacchi.
Lo strumento, sviluppato dal ricercatore conosciuto come es3n1n, rappresenta l'evoluzione di un progetto precedente che era stato rimosso da GitHub in seguito a una richiesta DMCA. Invece di utilizzare codice proprietario, questa nuova versione è stata progettata da zero per aggirare i problemi di copyright che avevano afflitto il suo predecessore, mantenendo tuttavia la stessa pericolosa funzionalità di disabilitare le protezioni native di Windows.
Quello che rende particolarmente preoccupante "Defendnot" è la sua capacità di ingannare il sistema facendogli credere che un antivirus legittimo sia stato installato. Il risultato è immediato: Microsoft Defender si disattiva automaticamente, lasciando il computer completamente vulnerabile nonostante l'interfaccia di Windows Security continui a mostrare che il dispositivo è protetto.
Il funzionamento di questo strumento si basa sull'utilizzo di un'API non documentata del Windows Security Center (WSC). Normalmente, quando installiamo un antivirus di terze parti sul nostro PC, questo si registra attraverso questa API per segnalare a Windows che ora è lui a gestire la protezione in tempo reale. Il sistema operativo, per evitare conflitti e sovrapposizioni, disabilita automaticamente Defender.
"Defendnot" sfrutta proprio questo meccanismo creando un falso antivirus che soddisfa tutti i controlli di convalida di Windows. Il trucco è particolarmente sofisticato perché riesce ad aggirare diverse misure di sicurezza implementate da Microsoft, tra cui la Protected Process Light (PPL) e la necessità di firme digitali valide.
Per superare queste protezioni, lo strumento inietta una DLL in un processo di sistema già esistente e firmato da Microsoft (Taskmgr.exe) guadagnando così la fiducia necessaria per registrare il finto antivirus con un nome a scelta.
L'aspetto più insidioso è la capacità di persistenza: "Defendnot" crea un'attività pianificata nel Task Scheduler di Windows per garantire che il falso antivirus venga registrato ad ogni avvio del sistema. Questo significa che, una volta compromesso, il computer rimarrà vulnerabile fino a quando l'utente non si accorgerà dell'inganno o un vero software di sicurezza non rileverà e rimuoverà lo strumento.
Microsoft è già a conoscenza della minaccia e l'attuale versione di Defender è in grado di rilevare e mettere in quarantena "Defendnot" identificandolo come "Win32/Sabsik.FL.!ml". Tuttavia, questo richiede che Defender sia attivo prima dell'installazione dello strumento malevolo, evidenziando un classico problema di sicurezza informatica: chi protegge il protettore?
Sebbene "Defendnot" venga presentato come un progetto di ricerca, dimostra quanto possano essere vulnerabili anche i sistemi più protetti quando le loro stesse funzionalità di sicurezza vengono manipolate contro di loro. È un promemoria della continua sfida tra difensori e attaccanti nel campo della sicurezza informatica, dove ogni meccanismo di protezione può potenzialmente diventare un vettore di attacco.
