Skip to main content

Featured

Delegar permissões de Administrador no Microsoft Entra ID

Delegar permissões administrativas no Microsoft Entra ID é essencial para distribuir responsabilidades de forma segura e eficiente, sem comprometer a governança da organização. Essa prática evita a concentração de acessos privilegiados em poucas contas e reduz riscos de segurança, ao mesmo tempo em que melhora a rastreabilidade das ações administrativas. Acessando o portal do Microsoft Entra O primeiro passo é acessar o portal de administração do Microsoft Entra em https://entra.microsoft.com com uma conta que possua a função de Global Administrator , pois apenas esse perfil tem autorização para gerenciar funções administrativas. Navegando até as funções administrativas No menu lateral, selecione Identidade e depois clique em Funções e administradores . Nessa área, você encontrará uma lista com todas as funções disponíveis no Entra ID, como: Global Administrator User Administrator Groups Administrator Helpdesk Administrator Security Reader Compliance Administrat...
Post a Comment
Read more

Abuso do Windows Security Center: Entendendo e combatendo o caso Defendnot




O Defendnot é uma ferramenta recentemente desenvolvida que explora uma vulnerabilidade no Windows Security Center (WSC) para desativar o Microsoft Defender, o antivírus nativo do Windows. Criada pelo pesquisador conhecido como “es3n1n”, a ferramenta registra-se como um antivírus falso, induzindo o sistema a desativar o Defender automaticamente para evitar conflitos entre soluções de segurança.

Como o Defendnot funciona

O Windows Security Center utiliza uma API (Interface de Programação de Aplicações) que permite que softwares antivírus informem sua presença ao sistema operacional. Quando um antivírus legítimo é instalado, ele se registra no WSC, e o Windows desativa o Defender para evitar redundância. O Defendnot aproveita-se dessa funcionalidade ao:
  1. Criar um antivírus falso: Desenvolve uma DLL (Biblioteca de Link Dinâmico) que simula um antivírus legítimo.
  2. Injetar a DLL em um processo confiável: Utiliza o processo do Gerenciador de Tarefas (taskmgr.exe), que é assinado digitalmente pela Microsoft, para hospedar a DLL falsa.
  3. Registrar-se no WSC: A partir do processo injetado, o Defendnot registra o antivírus falso no WSC, que, por sua vez, desativa o Microsoft Defender.
Esse método não utiliza código de antivírus existentes, evitando problemas legais relacionados a direitos autorais.

Implicações de Segurança

A utilização do Defendnot representa um risco significativo à segurança dos sistemas, pois desativa a proteção antivírus nativa sem o conhecimento do usuário. Isso pode deixar o sistema vulnerável a malware e outras ameaças

  1. Monitoramento de Processos: Administradores de sistemas devem monitorar processos suspeitos, especialmente aqueles que injetam DLLs em processos confiáveis como o taskmgr.exe.
  2. Políticas de Grupo: Implementar políticas de grupo que restrinjam a capacidade de processos não autorizados se registrarem como provedores de segurança no WSC.
  3. Ferramentas de Segurança Avançadas: Utilizar soluções de segurança que detectem comportamentos anômalos, como tentativas de desativar o antivírus nativo.
  4. Atualizações Regulares: Manter o sistema operacional e o Microsoft Defender atualizados para garantir que vulnerabilidades conhecidas sejam corrigidas.

Prevenção: medidas para evitar o ataque

  • Utilize Privilégio Mínimo com PAM (Privileged Access Management).
  • Nunca permita que usuários comuns tenham permissões para registrar serviços de segurança.
  • Use Microsoft Defender for Endpoint, Sentinel ou outro SIEM para alertar registro de novos provedores AV no WSC e mudança de estado do Microsoft Defender para inativo.
Implementar AppLocker ou WDAC (Windows Defender Application Control)

  • Bloqueie execução de binários e DLLs não assinados ou fora da whitelist.
  • Controle rigoroso sobre DLL injection e execução em processos sensíveis como taskmgr.exe.
  • Desabilitar o comportamento padrão do WSC via GPO
  • Políticas podem ser aplicadas para que o Defender não seja desabilitado automaticamente mesmo que outro “antivírus” seja detectado (via DisableAntiSpyware ou ForceDefenderOn).
  • Mantenha o sistema e o Defender atualizados.

Detecção e Resposta (Remediação)


Detecção de DLL injection em processos críticos
  • Ferramentas como Sysmon (com regras específicas), Microsoft Defender for Endpoint ou EDRs avançados podem detectar:
        ImageLoad de DLLs desconhecidas em processos como taskmgr.exe, explorer.exe, etc.

Reverter estado do Defender

Execute:

Set-MpPreference -DisableRealtimeMonitoring $false

Verifique se o Defender está ativo com:
Get-MpComputerStatus


Excluir registros maliciosos do WSC

  • Utilize ferramentas como SecurityCenter2 no Registro:
reg delete "HKLM\SOFTWARE\Microsoft\Security Center\Provider\Av" /f
  • Reinicie os serviços do Security Center:
Restart-Service wscsvc

Reforçar auditoria

Configure logs adicionais no Event Viewer para:

Event ID 16 (Microsoft-Windows-SecurityCenter)
Event ID 1116 (Microsoft Defender desativado)

Realizar varredura completa

Execute sfc /scannow e Windows Defender Full Scan.
Use o Microsoft Safety Scanner como ferramenta complementar.

Educação e Cultura de Segurança

  1. Oriente a equipe sobre o risco de ferramentas que “parecem legítimas” mas usam APIs de forma maliciosa.
  2. Inclua esse cenário em simulações de resposta a incidentes (IR Tabletop Exercises) Playbook de Resposta a Incidentes: Desativação Indevida do Microsoft Defender via WSC Spoofing

Detecção


Gatilhos de Alerta
  • Microsoft Defender foi desativado sem ação administrativa conhecida.
  • Registro de novo “provedor de antivírus” no Security Center.
  • Injeção de DLL em processos confiáveis como taskmgr.exe, explorer.exe, lsass.exe.

Fontes de Log Relevantes

  • Sysmon: Event ID 7 (DLL Loaded), Event ID 10 (Process Access)
  • Windows Defender: Event ID 1116 (proteção em tempo real desativada)
  • SecurityCenter2: HKLM\SOFTWARE\Microsoft\Security Center\Provider\Av
  • Event Viewer: Microsoft-Windows-SecurityCenter, Microsoft-Windows-Windows Defender

Contenção imediata

  • Isolar o dispositivo da rede via Intune, Defender for Endpoint ou NAC.
  • Revogar credenciais associadas ao endpoint comprometido.
  • Suspender sessões administrativas ativas.

Verificação de persistência
  • Buscar presença de DLLs maliciosas (ex: %temp%, %AppData%)
  • Auditar tarefas agendadas e chaves de execução automática: HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Task Scheduler

Erradicação

Remoção do registro AV falso
  • reg delete "HKLM\SOFTWARE\Microsoft\Security Center\Provider\Av" /f
Restart-Service wscsvc

Reativar o Microsoft Defender
  • Set-MpPreference -DisableRealtimeMonitoring $false Start-MpWDOScan

Remover a DLL maliciosa
  • Use Autoruns para identificar e excluir persistência.
  • Apague arquivos suspeitos manualmente ou via script PowerShell.

Recuperação


Verificar integridade
  • Rodar sfc /scannow
  • Executar varredura completa com Microsoft Defender ou EDR.

Reativar conexão do dispositivo
  • Após validação e verificação de conformidade, permitir reingresso na rede.

Pós-Incidente

Relatório
  • Descrever vetor de ataque (registro falso + DLL injection)
  • Medidas adotadas: contenção, limpeza, remediação

Lições aprendidas

  • Atualizar regras no SIEM para detectar manipulação do WSC.
  • Implementar AppLocker/WDAC para impedir injeções.
  • Habilitar Defender Tamper Protection via GPO/Intune: Set-MpPreference -EnableTamperProtection $true

Testes
Rodar simulações de injeção de DLL como Red Team ou adversary emulation.
Validar se controles detectam e bloqueiam tentativas similares.
Restringir acesso administrativo
Monitorar registro no WSC (Windows Security Center)

Para acesso ao código fonte do Defendnot, cnfira o repositório original no GitHub: GitHub - es3n1n/defendnot: An even funnier way to disable windows defender. (through WSC api)

Mais informações: Defendnot Tool Exploits Windows Security Center to Disable Defender


Comments

Post a Comment

Popular Posts