Microsoft Defender rivela le cartelle escluse dalla scansione

• Windows Defender
• Windows 10

All’inizio di gennaio un gruppo di ricercatori aveva puntato il dito su un aspetto di Microsoft Defender che i tecnici dell’azienda di Redmond non avevano ancora risolto e che era sfruttabile da eventuali malware caricati sul sistema per sfuggire al riconoscimento da parte dell’antimalware installato e attivato in modo predefinito sia su Windows 10 che su Windows 11.

Provate ad aprire una finestra del prompt dei comandi senza usare i diritti di amministratore premendo Windows+R quindi digitando cmd.
Impartendo il comando potreste ottenere la lista completa delle cartelle escluse dalla scansione di Microsoft Defender:

reg query "HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions" /s

Usiamo il condizionale perché Microsoft, con gli aggiornamenti di sicurezza di febbraio 2022, sembra aver finalmente risolto il problema.

Capita che su alcuni sistemi si abbia la necessità di escludere dalla scansione il contenuto di alcune cartelle: nell’articolo su come trovare password in Windows abbiamo utilizzato alcuni software assolutamente sicuri che però, per loro natura, vengono indicati come sospetti da Microsoft Defender e da altre soluzioni per la sicurezza. Per poter utilizzare programmi simili ed evitare di ingenerare segnalazioni, di solito si crea una cartella che poi viene inserita tra le esclusioni: nel caso di Defender basta digitare Sicurezza di Windows nella casella di ricerca del sistema operativo, selezionare Protezione da virus e minacce, Gestisci impostazioni e infine fare clic su Aggiungi o rimuovi esclusioni.

Il fatto è che secondo la tesi di chi aveva segnalato il comportamento anomalo di Microsoft Defender ormai 8 anni fa e del quale si è tornati a parlare da gennaio scorso, Windows non dovrebbe restituire così semplicemente (vedasi il comando reg presentato in apertura) la lista delle cartelle escluse dall’azione dell’antimalware.
L’eventuale codice nocivo che dovesse andare in esecuzione sulla macchina potrebbe sfruttare tali cartelle per far danni e muoversi lateralmente (andando a infettare altri sistemi collegati in rete locale) senza che Microsoft Defender “drizzi le antenne”.

Altri ricercatori come Antonio Cocomazzi (SentinelOne) che insieme ad un altro collega italiano hanno portato all’attenzione un problema in Windows relativo al meccanismo di autenticazione NTLM e Nathan McNulty hanno confermato il comportamento di Microsoft Defender esortando di fatto i tecnici dell’azienda guidata da Satya Nadella a prenderne coscienza e ad adottare tutti gli accorgimenti del caso con il rilascio dei prossimi aggiornamenti di Windows 10.
Allo stato attuale Windows 11 non restituisce l’elenco delle risorse escluse dalla scansione di Defender come invece fanno anche le ultime versioni di Windows 10.

Detto fatto. Finalmente dopo 8 anni di attesa, il problema di Microsoft Defender sembra finalmente risolto: dopo l’applicazione degli aggiornamenti di febbraio sui sistemi Windows 10 non viene più restituita la lista delle risorse escluse dalla scansione. Ciò perché Microsoft ha rimosso i diritti di accesso più ampi alle cartelle in questione.
Digitando il comando reg query "HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions" /s senza usare i diritti di amministratore d’ora in avanti si riceverà il messaggio “Accesso negato“.