Microsoft Windows bevat software waarmee de beveiliging voor Windows Defender en de firewall kan worden uitgeschakeld door anti-virussoftware. De code hiervoor is achterhaald en gepubliceerd via Github.

Er is een WSC (Windows Security Center) service in Windows die door antivirusprogramma’s wordt gebruikt om Windows te laten weten dat er een ander antivirusprogramma is geïnstalleerd door de gebruiker is en dat Windows Defender moet worden uitgeschakeld.

Uitschakelen Windows Defender

Deze WSC API is niet gedocumenteerd en vereist bovendien dat mensen een NDA (geheimhoudingsovereenkomst) met Microsoft ondertekenen om de documentatie te krijgen.

Middels reverse-engineering heeft een (anonieme) gebruiker een al bestaand antivirusprogramma (Avast) gekraakt om zo deze code te achterhalen. De code heeft hij nu via GitHub beschikbaar gesteld. Met als gevolg dat elke kwaadwillende nu de beschikking heeft over de geheime code waarmee Microsoft’s Windows Defender – in de ogen van de systeemsoftware – legaal kan worden uitgeschakeld.

Deze actie, maar ook deze door Microsoft gekozen methodiek, zorgt voor een zeer ernstige (potentiële) kwetsbaarheid in het Windows besturingssysteem. Systemen van gebruikers kunnen, zonder dat zij zich dit beseffen, ontdaan worden van beveiliging door Windows Defender.