Redazione RHC : 20 Maggio 2025 08:33
Lo strumento Defendnot, creato da un ricercatore nel campo della sicurezza informatica, è in grado di disattivare la protezione Microsoft Defender sui dispositivi Windows registrando un falso prodotto antivirus nel sistema, anche se l’antivirus reale non è installato.
Defendnot è stato creato da un esperto di sicurezza informatica con il nickname es3n1n e sfrutta in modo improprio l’API non documentata di Windows Security Center (WSC), registrando sul sistema un falso prodotto antivirus in grado di superare tutti i controlli di Windows.
L’esperto spiega che il software antivirus utilizza l’API WSC per comunicare a Windows di essere installato e di iniziare a gestire la protezione del dispositivo in tempo reale. Dopo aver registrato il software antivirus, Windows disattiva automaticamente Microsoft Defender per evitare conflitti che possono verificarsi quando si eseguono più soluzioni di sicurezza sullo stesso dispositivo.
 Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Il nuovo strumento si basa su un progetto precedente, es3n1n – no-defender , che utilizzava il codice di un prodotto antivirus di terze parti per falsificare le registrazioni WSC. Lo strumento precedente è stato rimosso da GitHub dopo che il produttore dell’antivirus ha presentato un reclamo DMCA.
“Poche settimane dopo il rilascio, il progetto è decollato e ha ottenuto circa 1500 stelle, dopodiché gli sviluppatori dell’antivirus che stavo usando hanno presentato un reclamo DMCA. “Non ho fatto nulla, l’ho solo eliminato e ho chiuso”, spiega il ricercatore sul suo blog.
Defendnot non dovrebbe presentare problemi di copyright, poiché la funzionalità richiesta è stata creata da zero utilizzando una DLL antivirus fittizia.
In genere, l’API WSC è protetta tramite Protected Process Light (PPL), firme digitali valide e altri meccanismi. Per aggirare questi requisiti, Defendnot inietta la sua DLL nel processo di sistema Taskmgr.exe, che è firmato e già considerato attendibile da Microsoft. Grazie a questo processo è possibile registrare un falso antivirus con un nome falso.
Una volta registrato il falso, Microsoft Defender viene immediatamente disattivato, lasciando il dispositivo senza protezione attiva.
Inoltre, l’utilità include un caricatore che trasmette i dati di configurazione tramite il file ctx.bin e consente di specificare il nome dell’antivirus utilizzato, di disabilitare la registrazione e di abilitare la registrazione dettagliata.
Per garantire la persistenza, Defendnot si insinua all’avvio tramite Utilità di pianificazione, consentendone l’esecuzione ogni volta che si accede a Windows.
Vale la pena notare che attualmente Microsoft Defender rileva Defendnot e lo mette in quarantena come Win32/Sabsik.FL.!ml.
RedazioneIn un mondo in cui la musica è da tempo migrata verso lo streaming e le piattaforme digitali, un appassionato ha deciso di tornare indietro di sei decenni, a un’epoca in cui le melodie potevano anc...
La frase “Costruiremo sicuramente un bunker prima di lanciare l’AGI” dal quale prende spunto l’articolo, è stata attribuita a uno dei leader della Silicon Valley, anche se non è chiaro a chi...
Negli Stati Uniti, una vasta campagna coordinata tramite botnet sta prendendo di mira i servizi basati sul protocollo Remote Desktop Protocol (RDP). Un pericolo notevole è rappresentato dalla scala e...
Un’ondata di messaggi di phishing sta colpendo in questi giorni numerosi cittadini lombardi. Le email, apparentemente inviate da una società di recupero crediti, fanno riferimento a presunti mancat...
La scorsa settimana, Oracle ha avvisato i clienti di una vulnerabilità zero-day critica nella sua E-Business Suite (CVE-2025-61882), che consente l’esecuzione remota di codice arbitrario senza aute...
