Basta un riavvio: il trucco che spegne Windows Defender prima ancora che parta

A volte, per disattivare la protezione di Windows non è necessario attaccare direttamente l’antivirus. È sufficiente impedirne il corretto avvio.

Un ricercatore che si fa chiamare Two Seven One Three (TwoSevenOneT) ha pubblicato su GitHub uno strumento denominato EDRStartupHinder che sfrutta proprio questo principio: bloccare l’avvio di antivirus ed EDR durante la fase di boot del sistema, abusando di un meccanismo legittimo di Windows basato sul reindirizzamento dei percorsi.

Il cuore della tecnica è BindLink, un’API di Windows che consente di “collegare” un percorso locale virtuale a un’altra posizione. In pratica, l’accesso ai file viene reindirizzato in modo trasparente. Microsoft descrive BindLink come una funzionalità fornita dal driver bindflt.sys, pensata originariamente per esigenze di compatibilità o per scenari in cui file fisicamente remoti devono apparire come locali.

Gli autori di EDRStartupHinder sfruttano questo meccanismo in chiave offensiva. Durante l’avvio di Windows, lo strumento crea un reindirizzamento per una DLL critica presente in System32, facendo in modo che il processo di sicurezza bersaglio carichi una versione “inappropriata” della libreria. Il risultato è l’interruzione immediata del processo, che viene terminato prima di poter inizializzare le proprie difese.

La descrizione del progetto è esplicita: EDRStartupHinder impedisce l’avvio di antivirus ed EDR reindirizzando una DLL chiave da System32 verso un’altra posizione già nelle primissime fasi del boot.

Nel repository viene citato anche un articolo di Zero Salarium, che chiarisce il contesto tecnico dell’attacco. Molti processi di sicurezza vengono avviati come PPL (Protected Process Light), una modalità che impone forti restrizioni sulle librerie caricabili. Se una dipendenza critica viene manipolata prima che i controlli siano pienamente attivi, il processo può “auto-terminarsi” senza mai arrivare a inizializzare i propri meccanismi di autodifesa.

Secondo l’autore, la tecnica è stata testata con successo su Windows Defender in Windows 11 25H2, oltre che su diverse soluzioni EDR commerciali, i cui nomi non sono stati resi pubblici.

La versione 1.0 dello strumento è stata rilasciata l’11 gennaio 2026. Si tratta dell’ennesimo esempio di come funzionalità progettate per migliorare compatibilità e flessibilità possano essere trasformate in potenti strumenti di bypass della sicurezza, soprattutto durante la delicata fase di avvio del sistema, quando chi arriva per primo ha un vantaggio decisivo.

La stessa pubblicazione di Zero Salarium suggerisce alcune contromisure di base: monitorare attentamente l’uso di BindLink (in particolare le attività legate a bindlink.dll) e individuare la comparsa di servizi sospetti che si avviano molto precocemente, persino prima dei componenti EDR.

Se nell’infrastruttura compaiono improvvisamente servizi giustificati come “necessari per la compatibilità” e, dopo un riavvio, la protezione di sistema risulta disattivata, questa è esattamente la catena di eventi che dovrebbe essere analizzata per prima.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.