În era securității digitale amplificate, un nou instrument de demonstrație a vulnerabilităților, Defendnot, suscită îngrijorări în comunitatea de securitate cibernetică. Acest instrument, atât ingenios, cât și tulburător, reuşeşte să dezactiveze antivirusul Windows Defender fără instalarea unui software antivirus extern. Acest artificiu exploatează o funcționalitate internă a sistemului de operare Windows, punând în evidență eventualele vulnerabilități în modul de gestionare a aplicațiilor de securitate.
Defendnot se bazează pe un API nedocumentat din Centrul de Securitate Windows (WSC), serviciu care gestionează informațiile despre software-urile antivirus instalate. În mod obișnuit, când un program antivirus se înregistrează în WSC, Windows oprește Microsoft Defender pentru a evita conflictele dintre soluțiile de protecție în timp real. Această funcționalitate, crucială pentru compatibilitatea între programele antivirus, poate fi însă exploatată, aşa cum demonstrează Defendnot.
Instrumentul, creat de un cercetător cu pseudonimul es3n1n, profită de această vulnerabilitate pentru a înregistra un antivirus fals, care respectă toate criteriile de verificare ale Windows. Nu este necesar un program antivirus real – sistemul acceptă ideea existenței unui antivirus fictiv. Defendnot utilizează o librărie DLL falsă, injectată într-un proces de sistem cu încredere (în acest caz, Taskmgr.exe), pentru a obține autorizațiile necesare înregistrării.
Odată înregistrat „antivirusul” virtual, Microsoft Defender este oprit imediat, lăsând sistemul vulnerabil. Atacatorii ar putea exploata această perioadă de expunere pentru a lansa atacuri malware fără a fi detectați.
De la cercetare la risc semnificativ
Deși Defendnot este prezentat ca un proiect de cercetare, impactul său este considerabil. Instrumentul este o continuare a unui proiect anterior, no-defender, eliminat de pe GitHub după o notificare DMCA din partea unui furnizor antivirus ale cărui coduri erau utilizate pentru simularea înregistrării. Spre deosebire de predecesorul său, Defendnot nu reutilizează coduri protejate prin drepturi de autor, evitând astfel problemele legale.
Instrumentul include și un încărcător care utilizează un fișier de configurare (ctx.bin) pentru a modifica numele „antivirusului” afișat, activarea înregistrării detaliate sau dezactivarea înregistrării. Pentru a persista după repornire, Defendnot creează o sarcină automată în planificatorul de sarcini Windows, activează la fiecare pornire a sistemului.
Această demonstrație evidențiază o problemă crucială: chiar şi funcţiile considerate sigure, gestionate prin semnături digitale şi procese privilegiate, pot fi manipulate de actori malintenşi sofisticați.
Răspunsul Microsoft și măsuri de precauție
După publicarea instrumentului, Microsoft Defender a început să detecteze Defendnot sub denumirea Win32/Sabsik.FL.!ml, demonstrând un proces proactiv de identificare și evitare. Cu toate acestea, abilitatea instrumentului de a funcționa fără a fi blocat inițial pune sub semnul întrebării robustețea actuală a sistemului de apărare Windows.
Pentru utilizatori, este crucial să înţeleagă că prezența Microsoft Defender nu garantează protecția absolută, mai ales în fața tehnicilor avansate de evitare a detecției. Mentența actualizărilor sistemului de operare, utilizarea unei soluții antivirus de încredere și prudența în gestionarea descărcărilor de fișiere sunt pași esențiali pentru securitatea digitală.
În concluzie, Defendnot nu este un simplu experiment; este o demonstrație concretă a modului în care sistemele de securitate pot fi compromise intern. Pe măsură ce actorii malintenşi devin tot mai creativi, este esențial ca dezvoltatorii de sisteme de operare şi software antivirus să evolueze în pas cu metode noi de evitare a protecției. Altfel, riscul de a fi vulnerabili, chiar şi atunci când credem că suntem protejați, devine din ce în ce mai real.
