Microsoft’un Windows sistemlerine entegre olarak sunduğu Defender, yeni ortaya çıkan bir araç sayesinde sistem korumasını devre dışı bırakacak şekilde aldatılabiliyor. “Defendnot” adı verilen bu araç, Windows’un güvenlik bileşenlerini manipüle ederek meşru bir antivirüs gibi davranıyor. Sistemde gerçekten bir antivirüs yazılımı varmış gibi davranan Defendnot, böylece Defender’ın kendi kendini devre dışı bırakmasını sağlıyor. Aracın geliştiricisi, daha önce benzer işlevlere sahip bir başka yazılımın da geliştiricisi olan es3n1n.
Defendnot’un temel çalışma mantığı, Microsoft tarafından belgelenmemiş bir API’yi kullanarak sistemdeki güvenlik merkezine sahte bilgiler göndermesi üzerine kurulu. Bu API, antivirüs yazılımlarının Windows Security Center’a kendilerini tanıtmasında kullanılıyor. Normal şartlarda bir güvenlik yazılımı sisteme tanıtıldığında Defender çatışmayı önlemek amacıyla devre dışı kalıyor. Defendnot da tam olarak bu davranıştan faydalanıyor ve sisteme aslında olmayan bir koruma yazılımı varmış gibi gösteriyor.
Aracın en dikkat çeken teknik ayrıntılarından biri, Windows’un Görev Yöneticisi süreci olan Taskmgr.exe’ye müdahale etmesi. Bu işlem, Microsoft tarafından imzalanmış ve sistem tarafından güvenilir kabul ediliyor. Defendnot, özel olarak hazırlanmış bir DLL dosyasını bu sürece enjekte ederek, antivirüs kaydı işlemini buradan yürütüyor. Böylece araç, sistemde meşru bir güvenlik uygulaması varmış izlenimini kolayca oluşturabiliyor.
Görev Yöneticisi sürecine yüklenen kodla Defender etkisiz hale geliyor
Bu yöntemle yapılan müdahale sonrasında, kullanıcı farkında olmasa bile sistem korumasız kalıyor. Microsoft Defender kapanmış oluyor fakat kullanıcıya bir uyarı verilmediği için bu durum fark edilmeyebiliyor. Özellikle kurumsal sistemlerde bu tür bir zafiyet, daha büyük güvenlik sorunlarına yol açabilecek potansiyele sahip. Sistemde zararlı yazılımların serbestçe çalışabileceği bir ortam oluşmuş oluyor.
es3n1n, bu aracı yalnızca güvenlik araştırmaları için geliştirdiğini söylüyor. Fakat geçmişte benzer araçların kötü niyetli kişiler tarafından istismar edildiği biliniyor. Özellikle kimlik bilgilerini hedef alan saldırılarda bu tür açıkların sıkça kullanıldığı görülüyor. Bu nedenle Defendnot’un yalnızca araştırma amaçlı geliştirilmiş olması, potansiyel riskleri ortadan kaldırmıyor.
Geliştirici, daha önce yine Defender’ı etkisizleştirmek için “no-defender” isimli başka bir araç geliştirmişti. Ancak bu önceki sürüm, bir antivirüs yazılımının kodlarını içerdiği için GitHub tarafından telif gerekçesiyle yayından kaldırılmıştı. Defendnot ise tamamen sıfırdan yazıldığı için aynı gerekçeyle kaldırılması beklenmiyor. Bu durum, aracın dağıtımının farklı kanallar üzerinden sürmesine zemin hazırlıyor.
Microsoft, son güncellemelerinde bu aracı tanımaya başlamış durumda. Defender, Defendnot’u artık bir Truva atı olarak algılıyor ve karantinaya alıyor. Ancak bu sadece güncel sistemler için geçerli. Güncelleme almayan veya eski sürüm kullanan sistemlerde araç etkisini sürdürmeye devam ediyor.
Defendnot’un kaynak kodu henüz geniş kitlelerle paylaşılmadı. Geliştirici, geçmişte yaşanan hukuki sorunlardan dolayı bu kez daha temkinli hareket ediyor. Ancak bu durum, aracın sızdırılmasını veya kopyalarının paylaşılmasını engellemiş değil. Bazı güvenlik forumlarında benzer yapıların dolaşıma girdiği yönünde yorumlar yapılıyor.
Siber güvenlik alanında faaliyet gösteren uzmanlar, bu tarz araçların Windows’un temel güvenlik mimarisindeki zayıf noktaları ortaya çıkardığını belirtiyor. Özellikle işletim sisteminin Defender gibi bir güvenlik katmanını yalnızca tanımlama bilgisine dayanarak kapatması, suistimale açık bir yapı sunuyor. Bu bağlamda Defender’ın kendini doğrulama ve koruma mekanizmalarının yeniden ele alınması gerektiği ifade ediliyor.
Kullanıcıların ve sistem yöneticilerinin, Defender’ın aktif olup olmadığını denetlemeleri ve üçüncü taraf antivirüs yazılımlarını dikkatle seçmeleri önem taşıyor. Bunun yanında işletim sistemlerinin ve güvenlik bileşenlerinin güncel tutulması, bu tarz araçların sistem üzerinde etkili olmasının önüne geçebilir. Geliştirilen araçlar her ne kadar araştırma amacı taşısa da, yaygın şekilde kullanılmaya başlanmaları halinde ciddi güvenlik risklerine yol açabilecekleri unutulmamalı.
