Microsoft Defender ist die Standard-Antivirenlösung, die in modernen Windows-Betriebssystemen integriert ist, um Nutzer vor Schadsoftware und anderen Sicherheitsbedrohungen zu schützen. Dennoch zeigen immer wieder Sicherheitsforscher und Entwickler Wege auf, wie diese Schutzsoftware umgangen oder deaktiviert werden kann. Ein aktuelles Beispiel hierfür ist der kürzlich erschienene Defendnot, ein Werkzeug, das eigens dafür entwickelt wurde, Microsoft Defender auf Windows-Rechnern auszuschalten und so das Gerät ohne aktiven Schutz zu lassen. Das Tool wurde vom deutschen IT-Sicherheitsforscher mit dem Pseudonym es3n1n programmiert und nutzt eine raffinierte Methode, die auf dem Windows Security Center (WSC) API basiert. Es3n1n hat mit Defendnot eine neue Herangehensweise geschaffen, die nicht auf den bekannten Schwachstellen beruht, sondern den Mechanismus der Systemerkennung von Antivirenprogrammen ausnutzt, ohne dabei echte Sicherheitssoftware zu installieren.
Konkret registriert Defendnot im Windows-Security-System einen falschen, also gefälschten Antivirus und gaukelt dadurch der Systemsoftware vor, dass bereits ein Drittanbieter-Schutz installiert sei. Windows reagiert darauf, indem es den eigenen Defender automatisch deaktiviert, um Konflikte zwischen mehreren Schutzprogrammen zu vermeiden. Das ist grundsätzlich zwar gewollt, sorgt in diesem Fall jedoch für eine gefährliche Sicherheitslücke, da der gefälschte Antivirus natürlich keinerlei Schutz bietet. Die technische Umsetzung von Defendnot ist komplex und durchdacht. Während das Windows Security Center API üblicherweise geschützt ist durch Methoden wie Protected Process Light (PPL) und digitale Signaturen, um Manipulationen zu verhindern, umgeht Defendnot diese Sicherheitsmechanismen auf unkonventionelle Weise.
Es injiziert eine eigens erstellte DLL-Datei in den Prozess Taskmgr.exe, also den Windows Task-Manager, der ein von Microsoft digital signierter und vertrauenswürdiger Systemprozess ist. Dadurch erhält Defendnot die nötigen Rechte und das Vertrauen des Systems, um einen falschen Antivirus-Eintrag fehlerfrei und unbemerkt einzutragen. Anders als bei einem echten Antivirenprogramm, das den Schutz in Echtzeit gewährleistet, bleibt das Gerät mit Defendnot vollständig ungeschützt, was Cyberkriminellen Angriffsflächen eröffnet. Für viele ist es überraschend, dass durch eine solche Täuschung der vorinstallierte und normalerweise sehr zuverlässige Microsoft Defender lahmgelegt werden kann.
Besonders kritisch ist, dass Defendnot dauerhaft im System verbleibt, da es sich mittels eines Autostart-Eintrags im Windows-Aufgabenplaner festsetzt und sich bei jedem Windows-Start automatisch neu aktiviert. Somit kann auch ein Neustart des Rechners die Deaktivierung von Defender nicht rückgängig machen. Ein Blick auf den Ursprung von Defendnot führt zu einem früheren Projekt, das ebenfalls von es3n1n erschaffen wurde: no-defender. Dieses erste Werkzeug nutzte Code aus einem existierenden Antivirenprogramm zur Registrierung eines falschen Schutzes über das WSC API. Allerdings wurde no-defender nach Veröffentlichung schnell wieder von GitHub entfernt, nachdem der Hersteller des genutzten Antivirus eine sogenannte DMCA-Beschwerde eingereicht hatte.
Mit Defendnot geht der Entwickler einen anderen Weg und schreibt die entscheidende DLL komplett selbst, um möglichen rechtlichen Problemen aus dem Weg zu gehen. Trotz dieser Vorsichtsmaßnahme reagieren heutige Sicherheitslösungen bereits auf Defendnot. Microsoft Defender selbst erkennt das Tool inzwischen und markiert es als potenzielle Bedrohung unter dem Erkennungsnamen Win32/Sabsik.FL.!ml.
Das führt dazu, dass Defendnot in Quarantäne verschoben wird, sobald es enttarnt wird. Gleichwohl unterstreicht der Erfolg und die Verbreitung von Defendnot die anhaltenden Herausforderungen beim Schutz von Windows-Systemen. Für Unternehmen und Privatnutzer stellt sich daher die dringende Frage, wie eine solche Hintertür in die Sicherheitsinfrastruktur geschlossen werden kann. Die Problematik liegt nicht allein beim Defender, sondern auch in den API-Schnittstellen und den Systemmechanismen, die darauf vertrauen, dass eingetragene Antivirenprodukte legitim und vertrauenswürdig sind. Sollten in Zukunft weitere Tools mit vergleichbaren Methoden erscheinen, könnten dadurch Windows-Systeme vermehrt anfällig werden.
Gleichzeitig zeigt Defendnot, wie kreativ und technisch versiert Sicherheitsforscher (und im schlimmsten Fall auch Hacker) heutzutage an die Analyse und Manipulation von Betriebssystemkomponenten herangehen. Für Anwender ist es essenziell, das Betriebssystem und die installierte Sicherheitssoftware stets auf dem neuesten Stand zu halten und Warnungen vor potenziell schädlicher Software ernst zu nehmen. Auch die Nutzung von ergänzenden Sicherheitslösungen und Monitoring-Tools empfiehlt sich, um ungewöhnliche Prozesse und Veränderungen im System frühzeitig zu erkennen. Die Erkenntnisse, die Defendnot liefert, sollten von Herstellerseite ebenso aufgegriffen werden, um vorhandene Schutzmechanismen zu überdenken und gegebenenfalls durch stärkere Absicherung des Windows Security Center API vor Manipulationen zu schützen. Letztlich ist der Schutz vor Malware und Angriffen ein sich ständig wandelnder Kampf, bei dem sowohl Entwickler von Sicherheitssoftware als auch User wachsam bleiben müssen.
Defendnot ist ein prägnantes Beispiel dafür, wie Zugang zu tiefen Systemebenen ausgenutzt werden kann, um etablierte Schutzfunktionen zu umgehen – und stellt somit eine Mahnung dar, dass Cybersecurity ein fortlaufender Prozess ist, der nie als abgeschlossen betrachtet werden darf.
