Windows Defender’ı ve güvenlik duvarını devre dışı bırakan bir GitHub projesi, siber güvenlik araştırmacıları arasında heyecan yaratıyor.
CERT’in kıdemli güvenlik açığı analisti Will Dormann, Mastodon siber güvenlik örneğinde GitHub projesi hakkında paylaşımda bulundu.
Dormann, “Birisi üçüncü taraf AV’nin Microsoft Defender’ı devre dışı bırakmak ve böylece kendilerinin müdahale olmadan çalışabilmesi için kullandığı gizli tekniği anladı” diye yazdı. “Bu araç, boş bir AV ürünü yüklemek için bu tekniği kullanıyor ve böylece Microsoft Defender’ı devre dışı bırakma etkisine sahip oluyor.”
Dormann, aracın çalışmasını gösteren bir ekran kaydına yer verdi ve aracın etkili bir şekilde çalıştığı görülüyor (ekran görüntüsü aşağıda).
Basitçe “No Defender” olarak adlandırılan GitHub projesi, “Windows Defender + Güvenlik Duvarını devre dışı bırakmanın eğlenceli bir yolu” olarak faturalandırılıyor.
Projeyle ilgili bir notta, depo sahibi “es3n1n”, antivirüs satıcılarının Windows Defender’ı devre dışı bırakmak için kullandıkları API’yi esasen tersine çevirdiklerini söyledi.
Notta, “Windows’ta, antivirüsler tarafından Windows’un başlıkta başka bir antivirüs bulunduğunu ve Windows Defender’ı devre dışı bırakması gerektiğini bilmesini sağlamak için kullanılan bir WSC (Windows Güvenlik Merkezi) hizmeti var” ifadesi yer alıyor.
“Bu WSC API’si belgelenmemiştir ve ayrıca insanların belgelerini almak için Microsoft ile bir Gizlilik Anlaşması imzalamasını gerektirir, bu yüzden böyle bir şey için ilginç bir yaklaşım benimsemeye karar verdim ve Avast adlı halihazırda mevcut bir antivirüs kullandım. Bu AV motoru, esas olarak Avast için WSC API’sini ayarlayan wsc_proxy.exe hizmetini içerir.
Biraz tersine mühendislikle bu hizmeti oraya kendi eşyalarımı ekleyebileceğim bir hizmete dönüştürdüm.”
Es3n1n tarafından belirtilen sınırlamalardan biri şu: “Bu WSC öğelerini yeniden başlatmadan sonra bile korumak için, no-defender otomatik çalıştırmaya kendisini (gerçekte kendisini değil, Avast’ın modülünü) ekliyor. Bu nedenle, savunucusu olmayan ikili dosyaları diskinizde tutmanız gerekir.
Windows Defender Atlaması Yönetici Ayrıcalıkları Gerektirir
Bilgisayar korsanları ve araştırmacılar benzer şekilde güvenlik savunmalarını devre dışı bırakmanın yollarını bulduklarından, EDR (uç nokta algılama ve yanıt) ve antivirüs yazılımı atlamaları alışılmadık bir durum değildir.
Güvenlik araştırmacıları ve test uzmanları, araştırma ve test sırasında genellikle güvenlik savunmalarını kapatır, dolayısıyla bu tür araçların da meşru kullanımları vardır. Ycombinator Hacker Haber akışında bir yorumcunun belirttiği gibi, “Defender, güvenlik araştırması yaparken gerçekten sinir bozucu bir şeydir ve tamamen ve kalıcı olarak kapatılması neredeyse imkansızdır.
Grup İlkesi Düzenleyicisi’ni veya regeditleri kullanmak bile güvenilir değildir. Eğer onu durdurursanız, haftalar sonra rastgele bir şekilde yeniden etkinleşecektir… İnsanların büyük çoğunluğu için bu iyi bir şeydir!”
Dormann, No Defender aracını çalıştırmak için yalnızca yükseltilmiş yönetici ayrıcalıklarının gerekli olduğunu, dolayısıyla Windows kullanıcılarının Windows’u yönetici olarak çalıştırmamak için başka bir nedeni olduğunu belirtti. Dormann, “Güvenlik bilincine sahip insanların yaptığı gibi Windows’ta yönetici olarak oturum açmazsanız endişelenecek pek bir şeyiniz kalmaz” diye yazdı.
Bir Mastodon yorumcusu, GitHub aracını Microsoft’unkinden ziyade bir Avast kusuru olarak gördü ve şunu belirtti: “AuthentiCode SigningLevel 7 ile imzalanmış bir yürütülebilir dosya gerektiriyor (“Ürünü AMPPL kullanan bir Kötü Amaçlı Yazılım Önleme satıcısı tarafından imzalanmış”).
“Faebudo” tanıtıcısını kullanan yorumcu, “Bunu daha çok Avast wsc_proxy.exe bileşeninin burada kötüye kullanılan ve güvenilmeyen/imzasız kodun kendisiyle etkileşime girmesine izin veren bir güvenlik açığı olarak görüyorum” dedi.
Cyber Express, yorum almak için Microsoft ve Avast’a ulaştı ve bu makaleyi herhangi bir yanıtla güncelleyecektir.