Într-un context în care securitatea cibernetică este mai importantă ca niciodată, un nou instrument demonstrativ numit Defendnot stârneşte îngrijorare în rândul experţilor. Creat ca un proiect de cercetare, Defendnot reuşeşte să păcălească Windows să dezactiveze Microsoft Defender fără să fie instalată o soluţie antivirus reală, scoţând astfel la iveală o slăbiciune critică în gestionarea internă a aplicaţiilor de securitate.
Instrumentul exploatează un API nementionat oficial din cadrul Windows Security Center — serviciul care supraveghează şi validează soluţiile de securitate active. În mod obişnuit, atunci când sistemul detectează un antivirus funcţional, Microsoft Defender se dezactivează automat pentru a preveni conflictele. Defendnot foloseşte acest mecanism pentru a înregistra un antivirus fals, convingând sistemul că protecţia este asigurată, deşi în realitate nu este.
Dezvoltat de un cercetător cunoscut sub pseudonimul es3n1n, Defendnot foloseşte o bibliotecă DLL falsă, injectată într-un proces de sistem cu încredere ridicată — Taskmgr.exe — pentru a obţine acces la înregistrarea în Windows Security Center. Odată recunoscut de sistem ca „antivirus activ”, Microsoft Defender este dezactivat automat, lăsând computerul vulnerabil. Această breşă poate fi exploatată cu uşurinţă de actori maliţioşi pentru a lansa atacuri fără a fi detectaţi.
Defendnot este o continuare a proiectului anterior numit no-defender, care a fost eliminat de pe GitHub în urma unei plângeri DMCA. Noul instrument a fost scris de la zero, tocmai pentru a evita încălcarea drepturilor de autor.
Aplicaţia oferă şi opţiuni avansate de configurare: poate modifica numele antivirusului fals afişat, activa jurnalizarea detaliată sau controla înregistrarea în sistem. Pentru a asigura persistenţa, creează o sarcină automată care porneşte aplicaţia la fiecare logare a utilizatorului.
Mai îngrijorător este faptul că Defendnot reuşeşte să exploateze elemente considerate anterior sigure, cum ar fi procesele cu semnături digitale sau mecanismele privilegiate din Windows. Deşi Microsoft a început recent să recunoască Defendnot ca o ameninţare — sub denumirea Win32/Sabsik.FL.!ml — faptul că acesta a funcţionat iniţial fără restricţii ridică semne serioase de întrebare asupra robusteţei actuale a Microsoft Defender.
Pentru utilizatori, acest caz este un semnal de alarmă. Prezenţa unui antivirus preinstalat nu este o garanţie absolută de siguranţă, mai ales în faţa tehnicilor tot mai sofisticate de evitare a detecţiei. Menţinerea sistemului la zi, alegerea unor soluţii de securitate solide şi vigilenţa în interacţiunea cu fişiere necunoscute rămân paşi esenţiali în protejarea dispozitivelor.
În cele din urmă, Defendnot nu este doar un exerciţiu tehnic, ci o demonstraţie clară a faptului că sistemele de protecţie pot fi ocolite din interior. Pe măsură ce ameninţările devin mai complexe, dezvoltatorii de software şi furnizorii de securitate trebuie să se adapteze rapid pentru a preveni atacurile înainte ca acestea să provoace daune reale.
