Análise do UnDefend para desativar o Windows Defender

Anteriormente, o pesquisador Nightmare-Eclipse publicou uma ferramenta chamada UnDefend que bloqueia as atualizações de assinatura do Windows Defender, tornando-o inoperável. Ao contrário de exploits anteriores como BlueHammer e RedSun, este método não requer escalonamento de privilégios e pode ser executado no contexto de um usuário padrão.

O UnDefend aproveita os mecanismos padrão de bloqueio de arquivos que existem desde a era do Windows NT para impedir atualizações do banco de dados antivírus. Após a execução bem-sucedida, o Defender para de receber atualizações e o sistema pode exibir incorretamente no console EDR que a proteção está ativa e atualizada.

📎 Artigo: https://nefariousplan.com/posts/undefend

💬 Discutir