Microsoft aprimora proteção do MS Defender

Desde o Windows Vista, os usuários podem desabilitar o Microsoft Defender completamente, e potencialmente outro software de segurança de terceiros, por meio do uso da configuração de política de grupo ‘Desativar Microsoft Defender Antivirus’.

Quando a política é ativada, um valor de registro ‘DisableAntiSpyware’ é criado e definido como 1 na chave HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows Defender, conforme mostrado abaixo.

Editor de registro do Windows versão 5.00

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows Defender]
“DisableAntiSpyware” = dword: 00000001

Uma vez habilitada, esta chave irá “desligar o Microsoft Defender Antivirus, bem como software antivírus de terceiros e aplicativos.”

Em uma atualização da documentação DisableAntiSpyware, a Microsoft afirma que o valor DisableAntiSpyware será ignorado e não será mais usado para desativar o software antivírus.

“DisableAntiSpyware deve ser usado por OEMs e Profissionais de TI para desabilitar o Microsoft Defender Antivirus e implantar outro produto antivírus durante a implantação. Esta é uma configuração legada que não é mais necessária, pois o antivírus Microsoft Defender se desliga automaticamente quando detecta outro programa antivírus. Esta configuração não se destina a dispositivos de consumo e decidimos remover esta chave de registro. Essa alteração está incluída nas versões da plataforma Microsoft Defender Antimalware 4.18.2007.8 e KB 4052623 superior  . As edições Enterprise E3 e E5 serão lançadas em uma data futura . Observe que esta configuração é protegida por  proteção contra adulteração. A proteção contra adulteração está disponível em todas as edições Home e Pro do Windows 10 versão 1903 e superior e é habilitada por padrão. O impacto da remoção do DisableAntiSpyware é limitado às versões do Windows 10 anteriores a 1903 usando o Microsoft Defender Antivirus. Essa alteração não afeta as conexões de antivírus de terceiros com o aplicativo Windows Security. Eles ainda funcionarão conforme o esperado. “

A Microsoft também afirmou que se um usuário remover sua solução antivírus instalada, o Windows Defender será reativado automaticamente para protegê-lo.

“Os consumidores podem optar por executar outra solução AV, mas se por algum motivo essa solução for desligada, o Microsoft Defender AV se ligará novamente para garantir que não haja lacunas na proteção para o usuário. Esta mudança não afeta as conexões antivírus de terceiros para o aplicativo de segurança do Windows. Eles ainda funcionarão conforme o esperado “, disse a Microsoft à BleepingComputer.

A Microsoft pode não estar contando toda a história

Assim como os administradores do Windows sabem sobre a política de grupo DisableAntiSpyware, os desenvolvedores de malware também sabem.

O BleepingComputer relatou inúmeras infecções por malware, incluindo TrickBot , Novter , Clop Ransomware , Ragnarok Ransomware e AVCrypt Ransomware que abusaram desta política de grupo para tentar desativar a proteção antivírus no Windows.

Com o lançamento do Windows 10 1903, a Microsoft introduziu um novo recurso chamado Proteção contra adulteração do Windows,  que evita que as configurações de Segurança do Windows e Microsoft Defender sejam alteradas por programas, ferramentas de linha de comando do Windows, alterações no Registro ou políticas de grupo.

Infelizmente, adicionar o valor DisableAntiSpyware Registry ainda funcionou brevemente, mesmo quando a proteção contra adulteração está ativada.

Se um malware adicionasse o valor DisableAntiSpyware ao Registro e, em seguida, reiniciasse o computador, na reinicialização a proteção contra adulteração removeria o valor.

A Segurança do Windows, entretanto, ainda estaria desabilitada para aquela sessão até que o computador fosse reiniciado novamente.

Este método permitiu que o malware fosse executado sem a verificação do Microsoft Defender ou outro software de segurança.

Como o Microsoft Defender agora ignorava o valor DisableAntiSpyware, os usuários do Windows 10 têm uma proteção muito maior contra ameaças que tentavam desabilitar o software de segurança usando essa técnica.

Fonte: https://www.bleepingcomputer.com/news/microsoft/malware-can-no-longer-disable-microsoft-defender-via-the-registry/