9. Mai 2025, 07:40
Lesezeit: ca. 2 Min

AV-Schutz in jedem Windows ausgehebelt

Security through Obscurity1 funktioniert nicht. Das ist keine Behauptung, das ist ein immer wieder erwiesener Fakt. Der heutige Beweis hat einen besonders großen Impact für weltweit alle Microsoft Windows Installationen.

Die Windows Security Center (WSC) API2 wurde dazu gebracht, jedes beliebige Programm als Anti-Virus Lösung zu akzeptieren. Die Funktionsweise der WSC ist wie folgt: Will ein Hersteller einer AV-Security-Lösung sein Schlangenöl installieren, muss er die in Windows laufenden Mechanismen erst ausschalten können, damit dieser nicht selbst als Malware erkannt und an diesem Versuch verhindert wird. Daher die bisher äußerst strenge Geheimhaltung dieser Schnittstelle.

Nun kann jeder mit lokalen Adminrechten den Windows-Defender zumindest bis zum nächsten Neustart vollständig deaktivieren. Zur Erlangung von Persistenz sind noch ein paar mehr Schritte notwendig. Da braucht es einen Dienst, es muß ein regelmäßiger Keepalive-Timestamp in die Registry geschrieben werden und noch ein paar Dinge mehr. Wenn jedoch bei jedem Neustart z.B. über die Aufgabenplanung defendnot neu ausgeführt wird bleibt der Windows Defender effektiv ausgeschaltet.

Defendnot auf Codeberg

Defendnot ist die Weiterentwicklung des bereits letztes Jahr vorgestellten no-defenders3, welches noch eine DLL eines Schlagenölherstellers für diesen Schritt benötigte. Die Lösung wurde damals DCMA’d4 und brachte mich dazu, sie auf Codeberg zu clonen.5

Und natürlich gibt es auch für den aktuellen defendnot einen Clone auf Codeberg.6

Microsoft steckt nun in einem echten Dilemma. Eine kurzfristige Änderung der WSC und des Installationsprozesses für Schlangenöl ist nahezu unmöglich. Security through Obscurity funktioniert nicht, hat es noch nie.

In diesem Sinne,
Euer Tomas Jakobs

© 2025 Tomas Jakobs - Impressum und Datenschutzhinweis

Unterstütze diesen Blog - Spende einen Kaffee