Defendnot, la nuova minaccia informatica che disattiva Microsoft Defender
Defendnot è un tool capace di sfruttare una vulnerabilità di Windows e disattivare Microsoft Defender, lasciando il PC esposto a potenziali attacchi informatici
Il panorama della cybersecurity si trova a dover affrontare a una nuova minaccia: si tratta di Defendnot, un sofisticato tool sviluppato per sfruttare una vulnerabilità di Windows, riuscendo a disattivare completamente Microsoft Defender.
La cosa che stupisce di questa nuova minaccia è che Defendnot è in grado di disabilitare il sistema di sicurezza interno del sistema operativo di Microsoft, senza installare alcun antivirus alternativo che ne possa prendere il posto, lasciando il PC completamente esposto a eventuali attacchi informatici.
Cosa sappiamo di Defendnot e come funziona
Defendnot è strato sviluppato dal ricercatore indipendente noto come es3n1n che ha saputo sfruttare le API del Windows Security Center (WSC) per ingannare il sistema operativo e fargli credere che sul computer sia presente un antivirus di terze parti perfettamente funzionante.
Quando questo accade, Windows, per evitare conflitti tra software di sicurezza, disattiva automaticamente Defender, pur senza avere a disposizione alcuna soluzione alternativa. Non si tratta, dunque, di un malware nel vero senso della parola, ma è una strategia che inganna il software di Microsoft e che potrebbe spianare la strada a potenziali attacchi informatici.
Altra caratteristica insidiosa di Defendnot è la sua capacità di eludere i controlli visivi del sistema operativo con l’interfaccia di Windows Security che continua a mostrare un sistema apparentemente protetto, inducendo l’utente a credere che non vi siano problemi. La realtà dei fatti è ben diversa e con Defender silenziato non c’è nessuna protezione attiva sul PC.
Oltretutto, bisogna ricordare anche che non si tratta di un exploit isolato o temporaneo e Defendnot rimane saldamente ancorato al sistema creando una voce nel Task Scheduler di Windows, in modo che il falso antivirus venga ri-registrato automaticamente ad ogni avvio del PC. Quindi, a meno che l’utente non intervenga manualmente attivando un vero software di sicurezza o riattivando Windows Defender, il sistema rimane vulnerabile.
Cosa sta facendo Microsoft contro questa minaccia
Microsoft ha comunicato di essere già a conoscenza della minaccia e ha aggiornato Defender per identificare Defendnot attivando la quarantena automatica. Tuttavia, questa misura è efficace solo se Defender è attivo al momento dell’esecuzione del tool malevolo.
Comunque, questo tipo di attacco solleva diversi dubbi modo in cui vengono gestiti i privilegi e le API di sistema all’interno di Windows. Se da un lato la flessibilità del sistema consente la coesistenza di più soluzioni antivirus, dall’altro lo espone anche a potenziali minacce che, come in questo caso, possono aggirare facilmente i sistemi di difesa e lasciare scoperto il PC.
È importante sottolineare che, secondo le dichiarazioni del suo sviluppatore, Defendnot nasce come proof of concept nell’ambito della ricerca sulla sicurezza e non ha intenzione di essere una vera minaccia per Windows. Tuttavia, una volta che strumenti di questo tipo vengono rilasciati pubblicamente, possono essere facilmente riutilizzati o modificati dai malintenzionati digitali per attaccare i computer degli utenti.
Questo indica essenzialmente due cose: la prima è l’importanza di mantenere attivo un sistema come Windows Defender e la seconda è quello di mantenerlo sempre aggiornato in modo da evitare vulnerabilità che possano mettere in pericolo i dati degli utenti.
