Специалист по кибербезопасности, использующий ник es3n1n, опубликовал программный код созданного им инструмента Defendnot. Разработанный в исследовательских целях, этот инструмент тем не менее способен использоваться в реальных атаках, демонстрируя опасную лазейку в механизмах безопасности операционной системы Windows. Точнее — в программном интерфейсе Windows Security Center (WSC). Он обеспечивает взаимодействие Windows со вновь устанавливаемым на устройство защитным ПО.

Как только антивирусная программа устанавливается и регистрируется в системе, WSC автоматически дает команду на отключение защиты Microsoft Defender. Это вполне логичный шаг, поскольку одновременная работа нескольких защитных решений на одном устройстве может создавать конфликты ПО и вести к проблемам. Но es3n1n нашел способ обманут интерфейс и зарегистрировать в системе защитное ПО без его установки. Изначально для этого он использовал код реально существующей антивирусной программы. Но ее разработчики, узнав об этом, направили ему претензию, основанную на законе США Digital Millenium Copyright Act, обеспечивающем защиту авторских прав в цифровую эпоху.

Не желая вступать в конфликт, исследователь удалил с GitHub свою программу, но не оставил работу над ней. Вместо этого он внес ряд усовершенствований. В результате он создал драйвер-пустышку, который регистрируется в системе как драйвер антивирусной программы. Это ведет к немедленному отключению Microsoft Defender, оставляя устройство без всякой защиты. При этом Defendnot прописывается в планировщике задач Windows Task Scheduler и далее автоматически запускается при каждой перезагрузке.

Впрочем, корпорация Microsoft уже отреагировала на ситуацию. Теперь при попытке установки Defendnot идентифицируется Microsoft Defender как потенциальная угроза и помещается в карантин.