Redazione RHC : 20 Maggio 2025 08:33
Lo strumento Defendnot, creato da un ricercatore nel campo della sicurezza informatica, è in grado di disattivare la protezione Microsoft Defender sui dispositivi Windows registrando un falso prodotto antivirus nel sistema, anche se l’antivirus reale non è installato.
Defendnot è stato creato da un esperto di sicurezza informatica con il nickname es3n1n e sfrutta in modo improprio l’API non documentata di Windows Security Center (WSC), registrando sul sistema un falso prodotto antivirus in grado di superare tutti i controlli di Windows.
L’esperto spiega che il software antivirus utilizza l’API WSC per comunicare a Windows di essere installato e di iniziare a gestire la protezione del dispositivo in tempo reale. Dopo aver registrato il software antivirus, Windows disattiva automaticamente Microsoft Defender per evitare conflitti che possono verificarsi quando si eseguono più soluzioni di sicurezza sullo stesso dispositivo.
CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC
Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"?
Conosci il nostro corso sul cybersecurity awareness a fumetti?
Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Il nuovo strumento si basa su un progetto precedente, es3n1n – no-defender , che utilizzava il codice di un prodotto antivirus di terze parti per falsificare le registrazioni WSC. Lo strumento precedente è stato rimosso da GitHub dopo che il produttore dell’antivirus ha presentato un reclamo DMCA.
“Poche settimane dopo il rilascio, il progetto è decollato e ha ottenuto circa 1500 stelle, dopodiché gli sviluppatori dell’antivirus che stavo usando hanno presentato un reclamo DMCA. “Non ho fatto nulla, l’ho solo eliminato e ho chiuso”, spiega il ricercatore sul suo blog.
Defendnot non dovrebbe presentare problemi di copyright, poiché la funzionalità richiesta è stata creata da zero utilizzando una DLL antivirus fittizia.
In genere, l’API WSC è protetta tramite Protected Process Light (PPL), firme digitali valide e altri meccanismi. Per aggirare questi requisiti, Defendnot inietta la sua DLL nel processo di sistema Taskmgr.exe, che è firmato e già considerato attendibile da Microsoft. Grazie a questo processo è possibile registrare un falso antivirus con un nome falso.
Una volta registrato il falso, Microsoft Defender viene immediatamente disattivato, lasciando il dispositivo senza protezione attiva.
Inoltre, l’utilità include un caricatore che trasmette i dati di configurazione tramite il file ctx.bin e consente di specificare il nome dell’antivirus utilizzato, di disabilitare la registrazione e di abilitare la registrazione dettagliata.
Per garantire la persistenza, Defendnot si insinua all’avvio tramite Utilità di pianificazione, consentendone l’esecuzione ogni volta che si accede a Windows.
Vale la pena notare che attualmente Microsoft Defender rileva Defendnot e lo mette in quarantena come Win32/Sabsik.FL.!ml.
RedazioneIn California è stata intentata una causa contro Microsoft, accusandola di aver interrotto prematuramente il supporto per Windows 10 e di aver costretto gli utenti ad acquistare nuovi dispositivi...
“Il sistema di difesa militare Skynet entrerà in funzione il 4 agosto 1997. Comincerà ad autoistruirsi imparando a ritmo esponenziale e diverrà autocosciente alle 2:14 del giorno...
Un nuovo strumento per disabilitare i sistemi EDR è apparso nell’ambiente dei criminali informatici , che gli esperti di Sophos ritengono essere un’estensione dell’utility ED...
Una vulnerabilità di WinRAR recentemente chiusa monitorata con il codice CVE-2025-8088 è stata sfruttata in attacchi di phishing mirati prima del rilascio della patch. Il problema era un Dir...
Alla conferenza Black Hat di Las Vegas, VisionSpace Technologies ha dimostrato che è molto più facile ed economico disattivare un satellite o modificarne la traiettoria rispetto all’u...
