Nový nástroj „Defendnot“ dokáže oklamať Windows a vypnúť Defender, antivírus, ktorý ťa má chrániť
Bezpečnostný nástroj Defendnot umožňuje vypnúť Microsoft Defender bez detekcie. Zneužíva legitímne API Windowsu a odhaľuje slabinu, o ktorej nikto dlho netušil.
Vyzerá to, že Microsoft má na krku ďalší problém. A to je škoda. Defender je dnes považovaný za jeden z najspoľahlivejších antivírusov, ktorý ponúka kvalitnú ochranu priamo v systéme Windows bez nutnosti inštalovať ďalší softvér. A hlavne „zadarmo“.
Bezpečnostný výskumník známy pod prezývkou es3n1n predstavil nový nástroj s názvom Defendnot, ktorý zneužíva menej známe funkcie systému Windows. Tie umožňuje vypnúť Microsoft Defender bez potreby inštalácie iného antivírusu. Tento nástroj môže vážne ohroziť bezpečnosť zariadení, keďže po jeho spustení zostáva systém bez akejkoľvek aktívnej ochrany. Windows si pritom „myslí“, že je chránený. O novinke informoval web Bleepingcomputer.
Ako to celé funguje?
Windows používa tzv. Windows Security Center API (WSC API). Je to rozhranie, cez ktoré antivírusové programy informujú systém, že sú aktívne a chránia zariadenie. Keď systém zaregistruje nový antivírus, automaticky deaktivuje Microsoft Defender. Aby sa predišlo konfliktom medzi viacerými bezpečnostnými softvérmi. Skús si napríklad nainštalovať ESET alebo AVAST a uvidíš sám.
Defendnot túto funkciu zneužíva tak, že cez WSC API zaregistruje falošný antivírus. Teda tvoj počítač zaeviduje antivírus, ktorý v skutočnosti neexistuje. Pretože však registrácia spĺňa všetky formálne požiadavky systému, Windows sa nechá oklamať a Defender sa okamžite vypne. Je zaujímavé, že si toto doteraz nikto nevšimol.
Autor už predtým pracoval na podobnom nástroji s názvom no-defender, ktorý používal kód z reálneho antivírusového softvéru. Tento projekt však musel z internetu zmiznúť po tom, ako dostal DMCA výzvu na stiahnutie. Na rozdiel od toho, Defendnot je postavený kompletne od nuly a neobsahuje žiadny cudzí kód. Tým sa vyhol problémom s autorskými právami.
Neprehliadni
Technické pozadie: Ako obísť ochrany Windowsu
Windows si bežne chráni svoje bezpečnostné funkcie cez Protected Process Light (PPL) a digitálne podpisy. Aby sa Defendnot dostal „dnu“, vstrekuje svoju vlastnú DLL knižnicu do procesu Taskmgr.exe, teda do Správcu úloh, ktorý je podpísaný Microsoftom a považovaný za dôveryhodný. Po injekcii dokáže zaregistrovať falošný antivírus pod ľubovoľným názvom.
Súčasťou nástroja je aj konfiguračný súbor ctx.bin, cez ktorý si používateľ môže nastaviť názov antivírusu. Umožňuje zapnúť a vypnúť registráciu a tiež spustiť podrobné logovanie. Defendnot sa navyše automaticky spúšťa pri štarte systému cez Plánovač úloh (Task Scheduler).
Microsoft na vzniknutý problém už reagoval
Aj keď ide podľa autora o výskumný projekt, nástroj demonštruje, ako sa dá zneužiť dôveryhodná funkcionalita Windowsu. Microsoft Defender už dnes vo väčšine prípadov dokáže detegovať Defendnot ako škodlivý softvér „Win32/Sabsik.FL.!ml“, ak je aktualizovaný, a snaží sa ho zablokovať alebo presunúť do karantény.
Komentáre