Basta un riavvio: il trucco che spegne Windows Defender prima ancora che parta

A volte, per disattivare la protezione di Windows non è necessario attaccare direttamente l’antivirus. È sufficiente impedirne il corretto avvio.

Un ricercatore che si fa chiamare Two Seven One Three (TwoSevenOneT) ha pubblicato su GitHub uno strumento denominato EDRStartupHinder che sfrutta proprio questo principio: bloccare l’avvio di antivirus ed EDR durante la fase di boot del sistema, abusando di un meccanismo legittimo di Windows basato sul reindirizzamento dei percorsi.

Il cuore della tecnica è BindLink, un’API di Windows che consente di “collegare” un percorso locale virtuale a un’altra posizione. In pratica, l’accesso ai file viene reindirizzato in modo trasparente. Microsoft descrive BindLink come una funzionalità fornita dal driver bindflt.sys, pensata originariamente per esigenze di compatibilità o per scenari in cui file fisicamente remoti devono apparire come locali.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Gli autori di EDRStartupHinder sfruttano questo meccanismo in chiave offensiva. Durante l’avvio di Windows, lo strumento crea un reindirizzamento per una DLL critica presente in System32, facendo in modo che il processo di sicurezza bersaglio carichi una versione “inappropriata” della libreria. Il risultato è l’interruzione immediata del processo, che viene terminato prima di poter inizializzare le proprie difese.

La descrizione del progetto è esplicita: EDRStartupHinder impedisce l’avvio di antivirus ed EDR reindirizzando una DLL chiave da System32 verso un’altra posizione già nelle primissime fasi del boot.

Nel repository viene citato anche un articolo di Zero Salarium, che chiarisce il contesto tecnico dell’attacco. Molti processi di sicurezza vengono avviati come PPL (Protected Process Light), una modalità che impone forti restrizioni sulle librerie caricabili. Se una dipendenza critica viene manipolata prima che i controlli siano pienamente attivi, il processo può “auto-terminarsi” senza mai arrivare a inizializzare i propri meccanismi di autodifesa.

Secondo l’autore, la tecnica è stata testata con successo su Windows Defender in Windows 11 25H2, oltre che su diverse soluzioni EDR commerciali, i cui nomi non sono stati resi pubblici.

La versione 1.0 dello strumento è stata rilasciata l’11 gennaio 2026. Si tratta dell’ennesimo esempio di come funzionalità progettate per migliorare compatibilità e flessibilità possano essere trasformate in potenti strumenti di bypass della sicurezza, soprattutto durante la delicata fase di avvio del sistema, quando chi arriva per primo ha un vantaggio decisivo.

La stessa pubblicazione di Zero Salarium suggerisce alcune contromisure di base: monitorare attentamente l’uso di BindLink (in particolare le attività legate a bindlink.dll) e individuare la comparsa di servizi sospetti che si avviano molto precocemente, persino prima dei componenti EDR.

Se nell’infrastruttura compaiono improvvisamente servizi giustificati come “necessari per la compatibilità” e, dopo un riavvio, la protezione di sistema risulta disattivata, questa è esattamente la catena di eventi che dovrebbe essere analizzata per prima.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.