Ein Sicherheitsforscher hat eine schwerwiegende Schwachstelle im Windows-Sicherheitssystem aufgedeckt. Das neu entwickelte Tool „Defendnot“ demonstriert, wie Angreifer den integrierten Microsoft Defender durch Manipulation des Windows Security Centers (WSC) deaktivieren können. Die Methode nutzt undokumentierte API-Schnittstellen, um ein nicht existentes Antivirenprogramm im System zu registrieren.
Technische Funktionsweise von Defendnot
Das Tool nutzt eine ausgeklügelte Technik zur Täuschung des Windows Security Centers. Durch die Registrierung eines simulierten Antivirenprogramms über undokumentierte WSC-API-Aufrufe wird Windows veranlasst, den Microsoft Defender automatisch zu deaktivieren. Diese Reaktion basiert auf der standardmäßigen Windows-Funktionalität, die Konflikte zwischen parallel laufenden Antivirenlösungen vermeiden soll.
Fortgeschrittene Umgehungstechniken
Besonders bemerkenswert ist die Fähigkeit von Defendnot, etablierte Sicherheitsmechanismen zu umgehen. Das Tool injiziert eine spezialisierte DLL in den vertrauenswürdigen Taskmgr.exe-Prozess, wodurch es die strengen Protected Process Light (PPL) Kontrollen und digitale Signaturprüfungen überwindet. Diese Methode ermöglicht die Registrierung des gefälschten Antivirenprogramms mit scheinbar legitimen Microsoft-Berechtigungen.
Konfiguration und Persistenz
Defendnot implementiert ein flexibles Konfigurationssystem über eine ctx.bin-Datei, die verschiedene Anpassungsoptionen bietet. Dazu gehören die Namensgebung des simulierten Antivirenprogramms, Logging-Kontrollen und detaillierte Aktivitätsaufzeichnungen. Die Persistenz wird durch Integration in den Windows Task Scheduler gewährleistet.
Entwicklungsgeschichte und rechtliche Aspekte
Das Tool stellt eine Weiterentwicklung des früheren „no-defender“ Projekts dar, das nach DMCA-Beschwerden von GitHub entfernt wurde. Die Neuimplementierung verwendet einen vollständig eigenständigen Codebase, um urheberrechtliche Konflikte zu vermeiden. Microsoft Defender erkennt Defendnot mittlerweile als potenziell schädliche Software (Win32/Sabsik.FL.!ml) und isoliert es automatisch.
Diese Sicherheitslücke unterstreicht die Bedeutung kontinuierlicher Systemaktualisierungen und proaktiver Sicherheitsmaßnahmen. Organisationen sollten ihre Endpoint-Protection-Strategien regelmäßig überprüfen und zusätzliche Sicherheitsebenen implementieren, um ähnliche Umgehungstechniken zu verhindern. Regelmäßige Updates des Microsoft Defenders und die Aktivierung erweiterter Sicherheitsfunktionen wie Tamper Protection sind essentiell für einen robusten Systemschutz.
