Un investigador de seguridad ha desarrollado una herramienta llamada Defendnot que expone una vulnerabilidad crítica en Microsoft Windows, permitiendo la desactivación no autorizada de Microsoft Defender. La herramienta explota una debilidad en el API no documentado del Windows Security Center (WSC), registrando un antivirus ficticio que engaña al sistema para desactivar su protección nativa.
Funcionamiento Técnico de Defendnot
La herramienta opera mediante la manipulación del WSC API para simular la instalación de una solución antivirus legítima. Esta acción aprovecha el comportamiento predeterminado de Windows, que desactiva Microsoft Defender automáticamente cuando detecta otro software antivirus para evitar conflictos de compatibilidad. La técnica resulta especialmente preocupante ya que no requiere la presencia real de un software antivirus alternativo.
Mecanismos de Evasión Avanzados
Defendnot implementa técnicas sofisticadas para eludir las protecciones de Windows, incluyendo Protected Process Light (PPL) y la verificación de firmas digitales. La herramienta inyecta una DLL especializada en el proceso Taskmgr.exe, que cuenta con la confianza del sistema por estar firmado digitalmente por Microsoft, permitiendo así el registro del antivirus ficticio con privilegios elevados.
Características y Persistencia del Sistema
Entre las funcionalidades avanzadas de Defendnot destaca su cargador de configuración mediante el archivo ctx.bin, que permite personalizar diversos parámetros como el nombre del antivirus simulado y la gestión de registros del sistema. La herramienta establece persistencia mediante el Programador de tareas de Windows, garantizando su supervivencia tras reinicios del sistema.
Microsoft ha respondido rápidamente a esta amenaza, actualizando Microsoft Defender para detectar y neutralizar Defendnot, clasificándolo como Win32/Sabsik.FL.!ml. Este incidente resalta la importancia crítica de mantener los sistemas de seguridad actualizados y la necesidad de implementar múltiples capas de protección en entornos empresariales. Se recomienda a los administradores de sistemas verificar regularmente el estado de sus soluciones de seguridad y mantener habilitadas las actualizaciones automáticas de Microsoft Defender.
