Una nueva herramienta llamada «Defendnot» puede desactivar Microsoft Defender
en dispositivos Windows registrando un antivirus falso, incluso sin un
antivirus real instalado.
El truco utiliza una API no documentada del Centro de Seguridad de Windows
(WSC) que el software antivirus utiliza para indicar a Windows que está
instalado y que ahora administra la protección en tiempo real del dispositivo.
Cuando se registra un programa antivirus, Windows desactiva automáticamente
Microsoft Defender para evitar conflictos al ejecutar varias aplicaciones de
seguridad en el mismo dispositivo. La herramienta
DefendNot, creada por el investigador
es3n1n,
abusa de esta API registrando un antivirus falso que cumple con todas las
comprobaciones de validación de Windows.
La herramienta se basa en un proyecto anterior llamado
«no-defender», que utilizaba código de un antivirus de terceros para suplantar el registro
en WSC. Esta herramienta anterior fue retirada de GitHub después de que el
proveedor presentara una solicitud de retirada por DMCA.
«Luego, unas semanas después del lanzamiento, el proyecto se disparó y
obtuvo aproximadamente 1.500 estrellas. Después, los desarrolladores del
antivirus que usaba presentaron una solicitud de eliminación por DMCA y,
como no quería hacer nada al respecto, simplemente borré todo y lo dejé
todo», explica el desarrollador en una entrada de blog.
Defendnot evita problemas de derechos de autor desarrollando la funcionalidad
desde cero mediante una DLL de antivirus ficticia.
Normalmente, la API de WSC se protege mediante Protected Process Light (PPL),
firmas digitales válidas y otras funciones. Para eludir estos requisitos,
Defendnot inyecta su DLL en un proceso del sistema, Taskmgr.exe,
firmado y de confianza por Microsoft. Desde ese proceso, puede registrar el
antivirus ficticio con un nombre falso.
Una vez registrado, Microsoft Defender se desactiva automáticamente, dejando
sin protección activa el dispositivo.
La herramienta también incluye un cargador que envía datos de configuración
mediante un archivo ctx.bin y permite configurar el nombre del
antivirus, desactivar el registro y habilitar el registro detallado.
Para mayor persistencia, Defendnot crea una ejecución automática a través del
Programador de tareas de Windows para que se inicie al iniciar sesión en
Windows.
Si bien Defendnot se considera un proyecto de investigación, la herramienta
demuestra cómo se pueden manipular las funciones de confianza del sistema para
desactivar las funciones de seguridad.
NOTA: Microsoft Defender detecta y pone en cuarentena Defendnot como una
detección ‘Win32/Sabsik.FL.!ml;’.
Fuente:
BC