Microsoft Defender: Due Zero-Day Attive, Cosa

TL;DR

• Cosa impari: Come proteggerti dalle due zero-day di Defender ancora attive • Tempo richiesto: 30 minuti per i controlli base, 2 ore per l'hardening completo • Difficoltà: Media - serve accesso admin e familiarità con PowerShell

Il Problema

Se gestisci Windows Defender in azienda, probabilmente hai sentito parlare del casino "Nightmare-Eclipse". Un ricercatore di sicurezza ha pubblicato su GitHub tre exploit per altrettante zero-day di Microsoft Defender.

La buona notizia? Uno dei tre (ribattezzato BlueHammer) è stato patchato.

La cattiva? Gli altri due sono ancora lì, belli attivi, e permettono agli attaccanti di bypassare completamente le protezioni di Defender.

Se hai notato comportamenti strani - scansioni che falliscono silenziosamente, file sospetti che passano senza problemi, o log di Defender che sembrano "troppo puliti" - potresti essere già nel mirino.

Prerequisiti

Cosa ti serve: • Accesso amministratore locale sui client Windows • Diritti admin su Windows Defender Security Center • PowerShell con privilegi elevati • Accesso ai log di sistema (Event Viewer o SIEM) • Connessione internet per scaricare tool di verifica

Step 1: Verifica lo Stato delle Patch

Primo controllo: sei aggiornato?

# Controlla versione Defender
Get-MpComputerStatus | Select-Object AMProductVersion, AMEngineVersion

# Controlla ultimo aggiornamento firme
Get-MpComputerStatus | Select-Object AntivirusSignatureLastUpdated

# Lista delle KB installate (cerca patch recenti)
Get-HotFix | Where-Object {$_.InstalledOn -gt (Get-Date).AddDays(-30)} | Sort-Object InstalledOn -Descending

Se vedi versioni engine antecedenti a gennaio 2025, sei vulnerabile al 100%.

Step 2: Abilita il Logging Avanzato

Defender per default logga poco. Troppo poco per accorgersi di un bypass.

# Abilita logging dettagliato via GPO o Registry
New-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows Defender\Logging" -Name "LoggingLevel" -PropertyType DWORD -Value 4 -Force

# Abilita logging real-time protection
Set-MpPreference -DisableRealtimeMonitoring $false
Set-MpPreference -MAPSReporting Advanced

Riavvia il servizio:

Restart-Service -Name "WinDefend" -Force

Step 3: Implementa Controlli Alternativi

Finché Microsoft non patcha tutto, serve un piano B.

Opzione 1: Hardening delle Esclusioni

# Lista esclusioni correnti (spesso abusate negli exploit)
Get-MpPreference | Select-Object -ExpandProperty ExclusionPath
Get-MpPreference | Select-Object -ExpandProperty ExclusionProcess

# Rimuovi esclusioni sospette
Remove-MpPreference -ExclusionPath "C:\Temp"
Remove-MpPreference -ExclusionProcess "powershell.exe"

Opzione 2: Protezione Email Dedicata

La maggior parte degli exploit arriva via email. Un gateway dedicato come MailSniper può bloccare malware prima che tocchi Defender.

Step 4: Monitoraggio Comportamentale

Crea script di controllo automatico:

# Script di verifica giornaliera
$logPath = "C:\DefenderCheck.log"
$date = Get-Date -Format "yyyy-MM-dd HH:mm:ss"

# Controlla se Real-Time Protection è attiva
$rtpStatus = (Get-MpComputerStatus).RealTimeProtectionEnabled

if ($rtpStatus -eq $false) {
    Add-Content -Path $logPath -Value "$date - ALERT: Real-Time Protection DISABLED"
    # Invia alert via email/SIEM
}

# Controlla processi sospetti che potrebbero sfruttare gli exploit
$suspiciousProcesses = Get-Process | Where-Object {$_.ProcessName -like "*defender*" -and $_.CPU -gt 50}
if ($suspiciousProcesses) {
    Add-Content -Path $logPath -Value "$date - ALERT: Suspicious Defender processes detected"
}

Step 5: Test di Penetration

Verifica se i tuoi sistemi sono vulnerabili:

# EICAR test file (innocuo ma rilevato da tutti gli antivirus)
$eicar = 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*'
Set-Content -Path "C:\temp\eicar.txt" -Value $eicar

# Defender dovrebbe rilevarlo immediatamente
# Se non succede nulla = problema

Step 6: Workaround Immediati

In attesa delle patch ufficiali:

# Forza scansione completa giornaliera
Set-MpPreference -ScanScheduleDay Everyday
Set-MpPreference -ScanScheduleTime 02:00:00

# Abilita Cloud Protection (aiuta con zero-day)
Set-MpPreference -MAPSReporting Advanced
Set-MpPreference -SubmitSamplesConsent SendAllSamples

# Blocco esecuzione da location rischiose
Add-MpPreference -AttackSurfaceReductionRules_Ids "d1e49aac-8f56-4280-b9ba-993a6d77406c" -AttackSurfaceReductionRules_Actions Enabled

Verifica

Test 1: Log Analysis

Controlla i log ogni giorno:

# Eventi Defender nelle ultime 24h
Get-WinEvent -FilterHashtable @{LogName="Microsoft-Windows-Windows Defender/Operational"; StartTime=(Get-Date).AddDays(-1)} | Where-Object {$_.LevelDisplayName -eq "Warning" -or $_.LevelDisplayName -eq "Error"}

Test 2: Behavioral Monitoring

Usa Process Monitor o Sysmon per verificare che Defender non venga bypassato silenziosamente.

Test 3: Network Traffic

Controlla connessioni sospette da processi legati a Defender - potrebbero indicare exploit attivi.

Troubleshooting

Q: Defender non si aggiorna automaticamente A: Controlla Windows Update e forza l'aggiornamento manuale: Update-MpSignature -UpdateSource MicrosoftUpdateServer

Q: Le scansioni falliscono dopo i workaround A: Troppo restrictive le policy. Rilassa gradualmente le impostazioni ASR.

Q: Performance degraded dopo l'hardening A: Normale con logging avanzato. Considera esclusioni mirate per applicazioni business-critical.

Q: Come sapere se sono sotto attacco? A: Cerca file "fantasma" che spariscono dai log, processi defender con CPU anomala, connessioni di rete non documentate.

Q: Quanto tempo per le patch ufficiali? A: Microsoft non ha dato timeline. Storicamente, zero-day pubbliche vengono patchate in 2-4 settimane.

Conclusione

Due zero-day di Defender attive significano che il tuo antivirus principale potrebbe essere compromesso. Non è il momento di farsi prendere dal panico, ma di agire.

Priority list: abilita logging, implementa controlli alternativi, monitora comportamenti anomali. E considera seriamente un sistema di protezione email dedicato - la maggior parte degli attacchi parte sempre da lì.

Le patch arriveranno, ma nel frattempo la tua rete ha bisogno di protezione. Questi workaround non sono perfetti, ma ti tengono al sicuro fino al prossimo Patch Tuesday.