A volte, per disattivare la protezione di Windows non è necessario attaccare direttamente l’antivirus. È sufficiente impedirne il corretto avvio.
Un ricercatore che si fa chiamare Two Seven One Three (TwoSevenOneT) ha pubblicato su GitHub uno strumento denominato EDRStartupHinder che sfrutta proprio questo principio: bloccare l’avvio di antivirus ed EDR durante la fase di boot del sistema, abusando di un meccanismo legittimo di Windows basato sul reindirizzamento dei percorsi.
Il cuore della tecnica è BindLink, un’API di Windows che consente di “collegare” un percorso locale virtuale a un’altra posizione. In pratica, l’accesso ai file viene reindirizzato in modo trasparente. Microsoft descrive BindLink come una funzionalità fornita dal driver bindflt.sys, pensata originariamente per esigenze di compatibilità o per scenari in cui file fisicamente remoti devono apparire come locali.
Advertising
Gli autori di EDRStartupHinder sfruttano questo meccanismo in chiave offensiva. Durante l’avvio di Windows, lo strumento crea un reindirizzamento per una DLL critica presente in System32, facendo in modo che il processo di sicurezza bersaglio carichi una versione “inappropriata” della libreria. Il risultato è l’interruzione immediata del processo, che viene terminato prima di poter inizializzare le proprie difese.
La descrizione del progetto è esplicita: EDRStartupHinder impedisce l’avvio di antivirus ed EDR reindirizzando una DLL chiave da System32 verso un’altra posizione già nelle primissime fasi del boot.
Nel repository viene citato anche un articolo di Zero Salarium, che chiarisce il contesto tecnico dell’attacco. Molti processi di sicurezza vengono avviati come PPL (Protected Process Light), una modalità che impone forti restrizioni sulle librerie caricabili. Se una dipendenza critica viene manipolata prima che i controlli siano pienamente attivi, il processo può “auto-terminarsi” senza mai arrivare a inizializzare i propri meccanismi di autodifesa.
Secondo l’autore, la tecnica è stata testata con successo su Windows Defender in Windows 11 25H2, oltre che su diverse soluzioni EDR commerciali, i cui nomi non sono stati resi pubblici.
La versione 1.0 dello strumento è stata rilasciata l’11 gennaio 2026. Si tratta dell’ennesimo esempio di come funzionalità progettate per migliorare compatibilità e flessibilità possano essere trasformate in potenti strumenti di bypass della sicurezza, soprattutto durante la delicata fase di avvio del sistema, quando chi arriva per primo ha un vantaggio decisivo.
Advertising
La stessa pubblicazione di Zero Salarium suggerisce alcune contromisure di base: monitorare attentamente l’uso di BindLink (in particolare le attività legate a bindlink.dll) e individuare la comparsa di servizi sospetti che si avviano molto precocemente, persino prima dei componenti EDR.
Se nell’infrastruttura compaiono improvvisamente servizi giustificati come “necessari per la compatibilità” e, dopo un riavvio, la protezione di sistema risulta disattivata, questa è esattamente la catena di eventi che dovrebbe essere analizzata per prima.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella.
Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.