{"id":29828,"date":"2025-07-31T10:00:26","date_gmt":"2025-07-31T08:00:26","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=29828"},"modified":"2025-07-29T07:41:29","modified_gmt":"2025-07-29T05:41:29","slug":"defendnot-disables-microsoft-defender-on-windows","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/defendnot-disables-microsoft-defender-on-windows\/29828\/","title":{"rendered":"Anti-virus di Schr\u00f6dinger: la protezione \u00e8 viva o morta?"},"content":{"rendered":"

Oggi molte aziende adottano i criteri Bring Your Own Device (BYOD)<\/a>, che consentono ai dipendenti di usare i propri dispositivi per motivi di lavoro. Questa pratica \u00e8 diffusa soprattutto nelle organizzazioni che abbracciano il lavoro a distanza. Il modello BYOD apporta molti ovvi vantaggi, ma la sua attuazione espone le aziende a nuovi rischi in termini di sicurezza informatica.<\/p>\n

Per proteggere i propri sistemi, i dipartimenti di sicurezza IT impongono solitamente l\u2019installazione di software di protezione su tutti i dispositivi impiegati in azienda. Ma allo stesso tempo alcuni dipendenti, in particolare i pi\u00f9 esperti di tecnologia, potrebbero considerare i software anti-virus pi\u00f9 come un ostacolo che come un aiuto.<\/p>\n

Non \u00e8 sicuramente l\u2019atteggiamento pi\u00f9 sensato, ma \u00e8 spesso arduo convincerli del contrario. Il nocciolo del problema \u00e8 che i dipendenti che credono di saperne di pi\u00f9 possono trovare il modo di ingannare il sistema. Oggi esaminiamo uno di questi modi: un nuovo strumento di ricerca noto come Defendnot<\/a> che disabilita Microsoft Defender nei dispositivi Windows registrando un software anti-virus falso.<\/p>\n

no-defender<\/em>: l\u2019apripista dei falsi anti-virus per disabilitare Microsoft Defender<\/h2>\n

Per capire esattamente come Defendnot disabilita Microsoft Defender, \u00e8 necessario riportare l\u2019orologio indietro di un anno, quando un ricercatore con l\u2019handle X es3n1n<\/a> ha creato e pubblicato la prima versione di questo strumento su GitHub. Chiamato no-defender<\/a>, aveva il compito di disabilitare l\u2019anti-virus Windows Defender, integrato nel sistema operativo Windows.<\/p>\n

Per eseguire questa attivit\u00e0, es3n1n ha sfruttato un punto debole nell\u2019API Windows Security Center (WSC), tramite la quale il software anti-virus informava il sistema della propria presenza dicendosi pronto a iniziare a proteggere il dispositivo in tempo reale. Dopo avere ricevuto tale messaggio, Windows disabilitava automaticamente Microsoft Defender per evitare conflitti tra diverse soluzioni di protezione in esecuzione sullo stesso dispositivo.<\/p>\n

Usando il codice di una soluzione di protezione esistente, il ricercatore ha praticamente creato un proprio anti-virus fasullo capace di registrarsi nel sistema e superare tutti i controlli di Windows. Dopo la disattivazione di Microsoft Defender, il dispositivo rimaneva non protetto, poich\u00e9 no-defender non offriva alcuna vera protezione.<\/p>\n

Il progetto no-defender ha ottenuto rapidamente un seguito su GitHub, raccogliendo oltre 2000 preferenze. Tuttavia, la societ\u00e0 di sviluppo anti-virus il cui codice \u00e8 stato usato nel progetto ha presentato un reclamo per violazione del Digital Millennium Copyright Act (DMCA)<\/a>. Pertanto es3n1n \u00e8 stato costretto a rimuovere il codice da GitHub, lasciando solo una pagina descrittiva.<\/p>\n

Come \u00e8 avvenuto il passaggio di testimone da no-defender a Defendnot<\/h2>\n

Ma la storia non finisce qui. Quasi un anno dopo, il programmatore neozelandese MrBruh<\/a> ha sfidato es3n1n a sviluppare una versione di no-defender che non si basasse su codice di terze parti. Spinto dalla sfida e dalla scarsit\u00e0 di sonno, es3n1n ha scritto un nuovo strumento in quattro giorni netti<\/a>, chiamato Defendnot.<\/p>\n

Il fulcro di Defendnot \u00e8 uno stub di DLL che si spaccia per anti-virus legittimo. Per ignorare tutti i controlli dell\u2019API WSC come Protected Process Light (PPL), firme digitali e altri meccanismi, Defendnot inietta la propria DLL in Taskmgr.exe, che \u00e8 firmato e gi\u00e0 considerato attendibile da Microsoft. Lo strumento registra quindi il falso anti-virus, richiedendo a Microsoft Defender di disattivarsi immediatamente lasciando cos\u00ec il dispositivo senza una protezione attiva.<\/p>\n

Inoltre, Defendnot consente all\u2019utente di assegnare qualsiasi nome al sedicente \u201canti-virus\u201d. Analogamente al suo predecessore, questo progetto \u00e8 diventato un successo su GitHub, vantando 2100 preferenze nel momento in cui scrivo. Per installare Defendnot, l\u2019utente deve disporre di diritti di amministratore, e molto probabilmente i dipendenti aziendali dispongono gi\u00e0 di tali diritti sui propri dispositivi personali.<\/p>\n

Come proteggere l\u2019infrastruttura aziendale dall\u2019uso improprio del BYOD<\/h2>\n

Defendnot e no-defender sono posizionati come progetti di ricerca, ed entrambi gli strumenti dimostrano come sia possibile manipolare meccanismi di sistema attendibili per disabilitare le funzioni di protezione. La conclusione \u00e8 ovvia: non ci si pu\u00f2 sempre fidare di ci\u00f2 che dice Windows.<\/p>\n

Pertanto, per non mettere in pericolo l\u2019infrastruttura digitale dell\u2019azienda, consigliamo di potenziarne i criteri BYOD con una serie di misure aggiuntive:<\/p>\n