Nieuwe “Defendnot”-trojan dwingt Windows tot uitschakelen eigen antivirus
Microsoft Defender wordt normaal gesproken alleen uitgeschakeld wanneer je een ander antivirusprogramma installeert. Wanneer je bijvoorbeeld Norton op je pc zet, schakelt Defender zichzelf automatisch uit. Dat gebeurt omdat de software zich aanmeldt bij Microsofts Windows Security Center-api (WSC-api), die controleert of de antivirussoftware aan de eisen voldoet. Die controle is echter niet waterdicht, meldt es3n1n, die ‘Defendnot’ ontwikkelde om deze beveiligingschecks te omzeilen.
Sterker nog: Defendnot is een trojan die je pc niet beveiligt, maar er wel voor zorgt dat Windows Microsoft Defender deactiveert. Het programma voldoet immers aan de eisen van de WSC-api. Daarvoor maakt het gebruik van een dummy-antivirus-DLL die wordt geïnjecteerd in het Taskmgr-proces van Windows – een door Microsoft gevalideerd systeemproces.
Daardoor komen de beveiligingschecks van de WSC-api, zoals Protected Process Light (PPL) en geldige digitale handtekeningen, te vervallen. Vervolgens kan Defendnot zich registreren als een geverifieerd antivirusprogramma, zonder tussenkomst van de eindgebruiker, en wordt de Defender-app meteen uitgeschakeld.
Voor gebruikers is het lastig om dit soort aanvallen te herkennen. De Defendnot-trojan stelt aanvallers namelijk in staat om de nep-antivirus een betrouwbare naam mee te geven, die vervolgens ook in het beveiligingspaneel van Windows verschijnt.
Microsoft Defender treedt in actie
Microsoft is inmiddels op de hoogte van de kwetsbaarheid in de Windows Security Center-api. Daar is niet direct een oplossing voor beschikbaar, maar via Microsoft Defender wordt nu wél een tegenmaatregel uitgerold. De beveiligingssoftware kan de Defendnot-trojan (Win32/Sabsik.FL.!ml) detecteren en onschadelijk maken.
Es3n1n heeft Defendnot opgezet als beveiligingsproject, zonder de intentie het lek te misbruiken. Tegelijkertijd staat de software wel open en bloot op GitHub, waardoor kwaadwillenden er alsnog mee aan de slag zouden kunnen gaan.
Voor es3n1n is het niet de eerste keer dat hij nep-antivirussoftware verspreidt waarmee je Defender kunt omzeilen. Exact een jaar geleden deed de onderzoeker hetzelfde met ‘no-defender’, maar die software moest worden teruggetrokken na een DMCA-klacht van een antivirusbedrijf. De onderzoeker had code van dat bedrijf gebruikt om Defender te omzeilen.
