Anti-virus di Schrödinger: la protezione è viva o morta?

In che modo lo strumento di ricerca Defendnot disabilita Microsoft Defender registrando un falso anti-virus e perché ciò che dice il sistema operativo non è sempre attendibile.

Oggi molte aziende adottano i criteri Bring Your Own Device (BYOD), che consentono ai dipendenti di usare i propri dispositivi per motivi di lavoro. Questa pratica è diffusa soprattutto nelle organizzazioni che abbracciano il lavoro a distanza. Il modello BYOD apporta molti ovvi vantaggi, ma la sua attuazione espone le aziende a nuovi rischi in termini di sicurezza informatica.

Per proteggere i propri sistemi, i dipartimenti di sicurezza IT impongono solitamente l’installazione di software di protezione su tutti i dispositivi impiegati in azienda. Ma allo stesso tempo alcuni dipendenti, in particolare i più esperti di tecnologia, potrebbero considerare i software anti-virus più come un ostacolo che come un aiuto.

Non è sicuramente l’atteggiamento più sensato, ma è spesso arduo convincerli del contrario. Il nocciolo del problema è che i dipendenti che credono di saperne di più possono trovare il modo di ingannare il sistema. Oggi esaminiamo uno di questi modi: un nuovo strumento di ricerca noto come Defendnot che disabilita Microsoft Defender nei dispositivi Windows registrando un software anti-virus falso.

no-defender: l’apripista dei falsi anti-virus per disabilitare Microsoft Defender

Per capire esattamente come Defendnot disabilita Microsoft Defender, è necessario riportare l’orologio indietro di un anno, quando un ricercatore con l’handle X es3n1n ha creato e pubblicato la prima versione di questo strumento su GitHub. Chiamato no-defender, aveva il compito di disabilitare l’anti-virus Windows Defender, integrato nel sistema operativo Windows.

Per eseguire questa attività, es3n1n ha sfruttato un punto debole nell’API Windows Security Center (WSC), tramite la quale il software anti-virus informava il sistema della propria presenza dicendosi pronto a iniziare a proteggere il dispositivo in tempo reale. Dopo avere ricevuto tale messaggio, Windows disabilitava automaticamente Microsoft Defender per evitare conflitti tra diverse soluzioni di protezione in esecuzione sullo stesso dispositivo.

Usando il codice di una soluzione di protezione esistente, il ricercatore ha praticamente creato un proprio anti-virus fasullo capace di registrarsi nel sistema e superare tutti i controlli di Windows. Dopo la disattivazione di Microsoft Defender, il dispositivo rimaneva non protetto, poiché no-defender non offriva alcuna vera protezione.

Il progetto no-defender ha ottenuto rapidamente un seguito su GitHub, raccogliendo oltre 2000 preferenze. Tuttavia, la società di sviluppo anti-virus il cui codice è stato usato nel progetto ha presentato un reclamo per violazione del Digital Millennium Copyright Act (DMCA). Pertanto es3n1n è stato costretto a rimuovere il codice da GitHub, lasciando solo una pagina descrittiva.

Come è avvenuto il passaggio di testimone da no-defender a Defendnot

Ma la storia non finisce qui. Quasi un anno dopo, il programmatore neozelandese MrBruh ha sfidato es3n1n a sviluppare una versione di no-defender che non si basasse su codice di terze parti. Spinto dalla sfida e dalla scarsità di sonno, es3n1n ha scritto un nuovo strumento in quattro giorni netti, chiamato Defendnot.

Il fulcro di Defendnot è uno stub di DLL che si spaccia per anti-virus legittimo. Per ignorare tutti i controlli dell’API WSC come Protected Process Light (PPL), firme digitali e altri meccanismi, Defendnot inietta la propria DLL in Taskmgr.exe, che è firmato e già considerato attendibile da Microsoft. Lo strumento registra quindi il falso anti-virus, richiedendo a Microsoft Defender di disattivarsi immediatamente lasciando così il dispositivo senza una protezione attiva.

Inoltre, Defendnot consente all’utente di assegnare qualsiasi nome al sedicente “anti-virus”. Analogamente al suo predecessore, questo progetto è diventato un successo su GitHub, vantando 2100 preferenze nel momento in cui scrivo. Per installare Defendnot, l’utente deve disporre di diritti di amministratore, e molto probabilmente i dipendenti aziendali dispongono già di tali diritti sui propri dispositivi personali.

Come proteggere l’infrastruttura aziendale dall’uso improprio del BYOD

Defendnot e no-defender sono posizionati come progetti di ricerca, ed entrambi gli strumenti dimostrano come sia possibile manipolare meccanismi di sistema attendibili per disabilitare le funzioni di protezione. La conclusione è ovvia: non ci si può sempre fidare di ciò che dice Windows.

Pertanto, per non mettere in pericolo l’infrastruttura digitale dell’azienda, consigliamo di potenziarne i criteri BYOD con una serie di misure aggiuntive:

  • Ove possibile, rendete obbligatoria per i proprietari di dispositivi BYOD l’installazione di una protezione aziendale affidabile amministrata dal vostro team di sicurezza IT.
  • Dove non fosse possibile, non considerate i dispositivi BYOD attendibili solo per il fatto che vi sia installato un software anti-virus e limitatene l’accesso ai sistemi aziendali.
  • Controllate rigorosamente le autorizzazioni di accesso per garantire che corrispondano a ruoli e responsabilità dei dipendenti.
  • Prestate particolare attenzione all’attività dei dispositivi BYOD nei sistemi aziendali e distribuite una Soluzione XDR per monitorare le anomalie comportamentali.
  • Formate i dipendenti sulle nozioni di base della sicurezza informatica in modo che comprendano come funziona il software anti-virus e perché debbano astenersi dal provare a disabilitarlo. Per contribuire in tal senso, Kaspersky Automated Security Awareness Platform offre tutto l’occorrente e tanto altro ancora.
Consigli