Disabilitare l'antivirus di Windows è molto più facile di quanto si possa pensare

Un nuovo strumento denominato Defendnot sta suscitando preoccupazioni significative per la sicurezza informatica dei PC Windows. Questo tool, sviluppato dal ricercatore noto come es3n1n, sfrutta una vulnerabilità critica nel Microsoft Defender, lasciando i dispositivi Windows esposti a potenziali attacchi. Attraverso una combinazione di tecniche sofisticate, Defendnot riesce a disabilitare completamente il sistema di protezione integrato, evidenziando debolezze nell’architettura di sicurezza di Windows.

Come funziona Defendnot

Il meccanismo principale dietro Defendnot risiede nell’uso improprio del Windows Security Center. Grazie a un’API originariamente progettata per consentire ai software di sicurezza legittimi di comunicare con il sistema operativo, lo strumento registra un antivirus fittizio.

Questo inganno induce Windows a disattivare Microsoft Defender, un comportamento previsto per evitare conflitti tra soluzioni di sicurezza concorrenti. Tuttavia, la particolarità di questa API, una API non documentata, la rende vulnerabile a manipolazioni, trasformandola in un punto di ingresso per attacchi sofisticati.

Un altro aspetto cruciale del funzionamento di Defendnot è l’iniezione di una DLL contraffatta in processi di sistema considerati affidabili, come Taskmgr.exe. Questa tecnica consente di bypassare i requisiti di firma digitale e le protezioni di integrità dei processi, aumentando l’efficacia dello strumento.

Inoltre, Defendnot offre funzionalità avanzate, come la possibilità di personalizzare il nome dell’antivirus falso, registrare attività e mantenere la persistenza attraverso il Task Scheduler, garantendo il riavvio automatico del tool dopo ogni spegnimento del sistema.

Sicurezza online: una guerra infinita

Sebbene creato per scopi di ricerca, Defendnot rappresenta un’evoluzione di un progetto precedente chiamato No-Defender, che era stato rimosso da GitHub a seguito di una segnalazione DMCA. Attualmente, Microsoft Defender identifica e blocca lo strumento, classificandolo come “Win32/Sabsik.FL.!ml”. Tuttavia, la scoperta di questa vulnerabilità evidenzia la necessità di un ripensamento nell’approccio alla sicurezza di Windows, poiché funzioni progettate per migliorare l’integrazione tra software legittimi possono essere sfruttate da attori malintenzionati.

Questa vicenda sottolinea l’importanza di affrontare le vulnerabilità di sicurezza intrinseche nei sistemi operativi e di adottare un approccio proattivo per prevenire exploit simili in futuro. Per gli utenti, è fondamentale mantenere i sistemi aggiornati e fare affidamento su soluzioni di sicurezza che possano identificare e neutralizzare queste minacce emergenti.