El malware ya no puede deshabilitar Microsoft Defender a través del Registro
Microsoft ha eliminado la capacidad de deshabilitar Microsoft Defender y el software de seguridad de terceros a través del Registro para evitar que el malware altere la configuración de protección.
Desde Windows Vista, los usuarios han podido deshabilitar Microsoft Defender por completo, y posiblemente otro software de seguridad de terceros, mediante el uso de la configuración de política de grupo “Desactivar Microsoft Defender Antivirus”.
Desactivar la política de grupo de Microsoft Defender Antivirus
Cuando la política está habilitada, se crea un valor de registro ‘DisableAntiSpyware’ y se establece en 1 en la clave HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows Defender, como se muestra a continuación.
Valor DisableAntiSpyware
Editor del registro de Windows, versión 5.00
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows Defender] “DisableAntiSpyware” = dword: 00000001
Una vez habilitada, esta clave apagará “Microsoft Defender Antivirus, así como el software y las aplicaciones antivirus de terceros”.
En una actualización de la documentación de DisableAntiSpyware , Microsoft afirma que el valor de DisableAntiSpyware ahora se ignorará y ya no se utilizará para desactivar el software antivirus.
"DisableAntiSpyware está diseñado para ser utilizado por OEM y profesionales de TI para deshabilitar Microsoft Defender Antivirus e implementar otro producto antivirus durante la implementación. Esta es una configuración heredada que ya no es necesaria, ya que el antivirus Microsoft Defender se apaga automáticamente cuando detecta otro programa antivirus. Esta configuración no está destinada a dispositivos de consumo y hemos decidido eliminar esta clave de registro. Este cambio se incluye en las versiones 4.18.2007.8 y superiores de la plataforma Antimalware de Microsoft Defender KB 4052623. Las ediciones Enterprise E3 y E5 se lanzarán en una fecha futura . Tenga en cuenta que esta configuración está protegida por protección contra manipulaciones. La protección contra manipulaciones está disponible en todas las ediciones Home y Pro de Windows 10 versión 1903 y superior y está habilitada de forma predeterminada. El impacto de la eliminación de DisableAntiSpyware se limita a las versiones de Windows 10 anteriores a 1903 con Microsoft Defender Antivirus. Este cambio no afecta las conexiones antivirus de terceros a la aplicación de seguridad de Windows. Estos seguirán funcionando como se esperaba ".
Microsoft también declaró que si un usuario elimina su solución antivirus instalada, Windows Defender se volverá a encender automáticamente para protegerlo.
"Los consumidores pueden optar por ejecutar otra solución antivirus, pero si por alguna razón esa solución se apaga, Microsoft Defender AV se volverá a encender para garantizar que no haya brechas en la protección del usuario. Este cambio no afecta las conexiones antivirus de terceros. a la aplicación de seguridad de Windows. Seguirán funcionando como se esperaba ", dijo Microsoft a BleepingComputer.
Microsoft puede no estar contando toda la historia
Al igual que los administradores de Windows han conocido la política de grupo DisableAntiSpyware, los desarrolladores de malware también.
BleepingComputer ha informado sobre numerosas infecciones de malware, incluidos TrickBot , Novter , Clop Ransomware , Ragnarok Ransomware y AVCrypt Ransomware que han abusado de esta política de grupo para intentar desactivar la protección antivirus en Windows.
Con el lanzamiento de Windows 10 1903, Microsoft introdujo una nueva característica llamada Protección contra manipulaciones de Windows que evita que los programas, las herramientas de línea de comandos de Windows, los cambios en el registro o las políticas de grupo cambien la configuración de Microsoft Defender y la seguridad de Windows.
Desafortunadamente, agregar el valor DisableAntiSpyware Registry funcionó brevemente incluso cuando la Protección contra manipulaciones está habilitada.
Si un malware agrega el valor DisableAntiSpyware al Registro y luego reinicia la computadora, al reiniciar la Protección contra manipulaciones eliminaría el valor.
Sin embargo, la seguridad de Windows seguirá deshabilitada para esa sesión hasta que la computadora se reinicie nuevamente.
Microsoft Defender deshabilitado por valor DisableAntiSpyware
Este método permitió que Microsoft Defender u otro software de seguridad se ejecutara sin control de malware.
Como Microsoft Defender ahora ignoró el valor DisableAntiSpyware, los usuarios de Windows 10 tienen una protección mucho mayor contra las amenazas que intentaron deshabilitar el software de seguridad utilizando esta técnica.
Fuente: BleepingComputer
