كشف باحث أمني يُعرف باسم “es3n1n” عن أداة جديدة تُسمى “DefendNot”، مصممة لتعطيل برنامج الحماية المدمج في ويندوز “Windows Defender” عبر استغلال واجهة برمجة تطبيقات (API) غير موثقة.
وتستهدف الأداة خدمة “Windows Security Center” (WSC)، التي تسمح لبرامج مكافحة الفيروسات الأخرى بإعلام النظام بوجود حل أمني بديل، مما يؤدي إلى تعطيل “Windows Defender” تلقائيًا.
وأوضح الباحث:
-
“هذه الواجهة غير موثّقة من قبل مايكروسوفت، وتتطلب توقيع اتفاقية عدم إفشاء (NDA) للحصول على وثائقها الفنية.”
-
“الأداة تستغل هذه الثغرة لخداع النظام وجعله يعتقد أن هناك برنامج حماية آخر مثبت، مما يؤدي إلى إيقاف Defender.”
هل تشكل الأداة تهديدًا حقيقيًا؟
-
لا تحتاج إلى صلاحيات إدارية (Admin): يمكن تشغيلها دون حقوق مدير النظام.
-
صعوبة الكشف: نظرًا لاستخدامها لواجهة نظام شرعية، قد لا تظهر كبرنامج ضار.
-
محتمل للاستغلال السيء: يمكن للقراصنة دمجها مع برامج ضارة أخرى لتعطيل الحماية قبل تنفيذ الهجوم.
مايكروسوفت والرد على الثغرة
حتى الآن، لم تصدر مايكروسوفت تصريحًا رسميًا حول:
-
إمكانية إصلاح الخلل عبر تحديثات أمنية.
-
ما إذا كانت ستقوم بتوثيق واجهة WSC API أو تقييد الوصول إليها.
نصائح أمنية لحماية جهازك
✅ تحديث ويندوز باستمرار: لتصحيح أي ثغرات أمنية.
✅ عدم تنزيل أدوات غير موثوقة: خاصة تلك التي تعد بتعطيل أنظمة الحماية.
✅ استخدام حلول أمنية إضافية: مثل برامج مكافحة فيروسات تابعة لجهات خارجية.
✅ مراقبة سلوك النظام: إذا لاحظت تعطيل Defender تلقائيًا، فقد يكون جهازك مصابًا.
