Microsoft aprimora proteção do MS Defender
A Microsoft removeu a capacidade de desativar o Microsoft Defender e o software de segurança de terceiros por meio do Registro para evitar que malware adultere as configurações de proteção.
Desde o Windows Vista, os usuários podem desabilitar o Microsoft Defender completamente, e potencialmente outro software de segurança de terceiros, por meio do uso da configuração de política de grupo ‘Desativar Microsoft Defender Antivirus’.
Quando a política é ativada, um valor de registro ‘DisableAntiSpyware’ é criado e definido como 1 na chave HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows Defender, conforme mostrado abaixo.
Editor de registro do Windows versão 5.00
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows Defender]
“DisableAntiSpyware” = dword: 00000001
Uma vez habilitada, esta chave irá “desligar o Microsoft Defender Antivirus, bem como software antivírus de terceiros e aplicativos.”
Em uma atualização da documentação DisableAntiSpyware, a Microsoft afirma que o valor DisableAntiSpyware será ignorado e não será mais usado para desativar o software antivírus.
“DisableAntiSpyware deve ser usado por OEMs e Profissionais de TI para desabilitar o Microsoft Defender Antivirus e implantar outro produto antivírus durante a implantação. Esta é uma configuração legada que não é mais necessária, pois o antivírus Microsoft Defender se desliga automaticamente quando detecta outro programa antivírus. Esta configuração não se destina a dispositivos de consumo e decidimos remover esta chave de registro. Essa alteração está incluída nas versões da plataforma Microsoft Defender Antimalware 4.18.2007.8 e KB 4052623 superior . As edições Enterprise E3 e E5 serão lançadas em uma data futura . Observe que esta configuração é protegida por proteção contra adulteração. A proteção contra adulteração está disponível em todas as edições Home e Pro do Windows 10 versão 1903 e superior e é habilitada por padrão. O impacto da remoção do DisableAntiSpyware é limitado às versões do Windows 10 anteriores a 1903 usando o Microsoft Defender Antivirus. Essa alteração não afeta as conexões de antivírus de terceiros com o aplicativo Windows Security. Eles ainda funcionarão conforme o esperado. “
A Microsoft também afirmou que se um usuário remover sua solução antivírus instalada, o Windows Defender será reativado automaticamente para protegê-lo.
“Os consumidores podem optar por executar outra solução AV, mas se por algum motivo essa solução for desligada, o Microsoft Defender AV se ligará novamente para garantir que não haja lacunas na proteção para o usuário. Esta mudança não afeta as conexões antivírus de terceiros para o aplicativo de segurança do Windows. Eles ainda funcionarão conforme o esperado “, disse a Microsoft à BleepingComputer.
A Microsoft pode não estar contando toda a história
Assim como os administradores do Windows sabem sobre a política de grupo DisableAntiSpyware, os desenvolvedores de malware também sabem.
O BleepingComputer relatou inúmeras infecções por malware, incluindo TrickBot , Novter , Clop Ransomware , Ragnarok Ransomware e AVCrypt Ransomware que abusaram desta política de grupo para tentar desativar a proteção antivírus no Windows.
Com o lançamento do Windows 10 1903, a Microsoft introduziu um novo recurso chamado Proteção contra adulteração do Windows, que evita que as configurações de Segurança do Windows e Microsoft Defender sejam alteradas por programas, ferramentas de linha de comando do Windows, alterações no Registro ou políticas de grupo.
Infelizmente, adicionar o valor DisableAntiSpyware Registry ainda funcionou brevemente, mesmo quando a proteção contra adulteração está ativada.
Se um malware adicionasse o valor DisableAntiSpyware ao Registro e, em seguida, reiniciasse o computador, na reinicialização a proteção contra adulteração removeria o valor.
A Segurança do Windows, entretanto, ainda estaria desabilitada para aquela sessão até que o computador fosse reiniciado novamente.
Este método permitiu que o malware fosse executado sem a verificação do Microsoft Defender ou outro software de segurança.
Como o Microsoft Defender agora ignorava o valor DisableAntiSpyware, os usuários do Windows 10 têm uma proteção muito maior contra ameaças que tentavam desabilitar o software de segurança usando essa técnica.
