Category Archives: Windows Defender Antivirus

Microsoft: stop ad aggiornamenti sulla sicurezza se gli utenti non impostano la Registry Key sugli Antivirus

Microsoft: stop agli aggiornamenti sulla sicurezza di Windows se gli utenti non importano una Registry Key sugli Antivirus

Lo scorso mese, Microsoft ha fatto una comunicazione importantissima all’interno della sua
support page. Nell’articolo, infatti, descrive le incompatibilità tra alcuni Antivirus(AV) e le recenti Patches per Windows Meltdown e Spectre.

Microsoft ha dichiarato di aver individuato alcuni problemi di compatibilità con un numero ristretto di prodotti antivirus.
Per ovviare a questo problema, aveva rilasciato un aggiornamento sulla sicurezza di Windows in data 3 Gennaio per tutti quei device su cui erano in uso software antivirus provenienti da partner che avevano confermato il fatto che il loro prodotto non fosse compatibile con l’aggiornamento relativo alla sicurezza del Sistema operativo di Windows.

In seguito a questo aggiornamento, aveva poi dichiarato che gli utenti Windows non avrebbero più ricevuto gli aggiornamenti (January 2018 Patch Tuesday Security Updates) se l’antivirus che avevano in uso non fosse diventato compatibile con le Patches relative a Windows Meltdown e Spectre.

Come fare ciò? Attraverso l’aggiornamento del vostro antivirus e l’aggiunta di una particolare chiave di registro al Windows Registry.

La presenza di questa chiave dice al sistema operativo Windows che il prodotto antivirus è compatibile ed aziona il Windows Update che installa le Patches Meltdown e Spectre, malware diventati famosi poiché vanno ad intaccare le moderne CPU.

La Registry Key stabilisce l’idoneità degli utenti agli aggiornamenti
In accordo con i recenti cambiamenti di policy di Microsoft, la chiave di registro è diventata una verifica improrogabile per il processo di Windows Update ed eviterà tutti i futuri aggiornamenti, non solo le Patches di Meltdown e Spectre.

Microsoft ha poi chiesto direttamente ai produttori di antivirus di creare questa chiave di registro poiché aveva notato, durante la fase di test, che alcuni prodotti antivirus causavano nei pc Windows uno stato di errore, il Blue Screen of Death (BSOD) che impediva il conseguente riavvio della macchina.

Meltdown e Spectre hanno messo in evidenza una falla fondamentale nel design dei moderni processori. I fix che Microsoft ha fornito stanno producendo un impatto simile al modo in cui i software antivirus ora interagiscono con il sistema operativo Windows.
Gli utenti Windows che non utilizzano un antivirus o che usano Windows Defender possono aggiornarlo subito, di modo da non essere soggetti all’obbligo della chiave di registro. Gli unici che sono subordinati alla chiave sono quelli che utilizzano soluzioni antivirus custom e di terze parti.

La maggior parte dei vendor di antivirus hanno aggiornato i loro prodotti per supportare le Patches di Meltdown e Spectre, ma alcuni di loro chiedono che siano gli utenti ad impostare la chiave di registro manualmente.

Antivirus compatibili
Kevin Beaumont, ricercatore sulla sicurezza, tiene continuamente traccia dei prodotti antivirus che hanno creato la chiave di registro, di quelli che richiedono agli utenti di creare una chiave di registro manualmente e di quelli che non hanno ancora gli aggiornamenti e quindi non sono compatibili con le Patches Windows Meltdown e Spectre.

Ali utenti che, nei prossimi mesi, si accorgono di non aver ricevuto alcun aggiornamento sulla sicurezza nei loro pc Windows, consigliamo di andare a controllare in primo luogo all’interno dei loro antivirus.

Vi indichiamo a questo link la lista dove prendere visione degli antivirus attualmente compatibili con le patches di Meltdown e Spectre.

Alternative possibili
Bloccando tutti gli aggiornamenti sulla sicurezza di Windows fino a quando gli antivirus o gli utenti non impostano una chiave di registro, Microsoft sta dando agli utenti essenzialmente due possibilità:
– possono scegliere di non ricevere più gli aggiornamenti sulla sicurezza di Windows e mantenere i loro attuali antivirus;
– possono abbandonare il loro antivirus incompatibile per uno che supporta i fix fondamentali per Meltdown e Spectre.

Non è necessario che gli utenti corrano immediatamente a dismettere i loro antivirus.
Microsoft ha infatti chiesto di portare un po’ di pazienza, le compagne di antivirus potrebbero metterci un po’ prima di rilasciare gli update. Questo perché gli aggiornamenti sono molto complessi e richiedono il tempo necessario per essere elaborati.

La chiave di registro che gli antivirus devono impostare è la seguente:

Key=”HKEY_LOCAL_MACHINE” Subkey=”SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat” Value=”cadca5fe-87d3-4b96-b7fb-a231484277cc” Type=”REG_DWORD”
per

Windows Defender Antivirus: protezione avanzata per malware in tempo reale!

L’aspetto più cruciale per i cybercriminali, è la velocità.
I nuovi malware impiegano solo 4 ore ad ottenere e rubare informazioni finanziarie, estorcere soldi e causare danni inimmaginabili. In un report recente, la Federal Trade Commission (FTC) ha affermato che, dal momento in cui qualcuno posta qualcosa su un underground forum, i cybercriminali impiegheranno solo 9 minuti ad estorcere ed utilizzare informazioni hackerate.
Fermare i nuovi malware in maniera tempestiva diventa perciò un elemento sempre più importante.

Per combattere velocità e complessità delle minacce, Microsoft lavora costantemente con l’obiettivo di potenziare e migliorare Windows Defender AV e altre funzioni di sicurezza costruite su Windows 10.
Nel manuale “The evolution of malware prevention”, si affronta l’approccio avanzato e predittivo verso la protezione degli utenti dalle minacce che si trovano ad affrontare, ora ed in futuro.

Questi miglioramenti sono basati su tecnologie di nuova generazione, che rendono Windows Defender AV in grado di bloccare automaticamente e a prima vista le nuove minacce utilizzando i seguenti metodi:

– Modelli di machine learning client-based che bloccano malware nuovi e sconosciuti;
Analisi comportamentali locali che bloccano gli attacchi file-based e file-less;
Antivirus di alta precisione che localizzano i malware comuni attraverso tecniche generiche ed euristiche.

In casi relativamente rari, quando Windows Defender AV ha bisogno di intelligenza aggiuntiva per verificare l’intento di un file sospetto, invia metadati al servizio di protezione cloud che, in pochi secondi, determina se il file è sicuro o maligno. Questo utilizzando le seguenti tecniche:

– Modelli precisi di machine learning client-based in grado di operare assesment curati basandosi sui segnali in arrivo dal client;
Microsoft Intelligent Security Graph che monitora i dati di minaccia da una vasta rete di sensori

In casi ancora più rari, quando il servizio Windows Defender AV cloud protection non riesce a raggiungere una fase conclusiva sui metadata, può effettuare un’ulteriore ispezione del potenziale malware.

Su Windows 10 Creators Update, il client Windows Defender AV carica i file sospetti sul servizio di protezione cloud per un’analisi rapida.
Mentre attendete “il verdetto”, il client Windows Defender AV mantiene il blocco sui file ambigui, evitando possibili comportamenti maligni.
Il client Windows Defender AV agisce poi a seconda del verdetto. Ad esempio, se il servizio di protezione cloud classifica il file come maligno, lo blocca, fornendo protezione istantanea.

Windows Defender AV cloud protection fornisce protezione in tempo reale

Protezione istantanea: pochi secondi fanno la differenza!
Facciamo un esempio reale e pratico.
Un cliente Windows 10 Home è stato ingannato e persuaso a scaricare un nuovo ransomware: il Ransom:Win32/Spora.

Il malware era camuffato da un file dal nome “Chrome font.exe”. È stato ospitato su un sito web di online learning compromesso da un attacker che ha cercato di persuadere le persone a scaricare il malware utilizzando una tattica di social engineering. In questo schema che prende di mira gli utenti, siti web legittimi sono stati compromessi dall’aprire una finestra di pop-up che diceva “The ‘HoeflerText’ font wasn’t found” chiedendo di effettuare un aggiornamento per sistemare la cosa. Il cliente, cliccando sul bottone “Update” nella finestra di pop-up, ha scaricato la Spora ransomware variant.

Esempio di ransomware su Windows 10 Home

Il client di Windows Defender AV che ha il cliente in questione, scansiona perdiodicamente il file utilizzando definizioni e regole on-box. Considerato che non aveva mai incontrato il file prima, Windows Defender AV non l’ha identificato come maligno; in ogni caso ha riconosciuto le caratteristiche sospette quindi ha sospeso temporaneamente l’esecuzione del file. Il client ha così inviato una query al servizio di protezione cloud di Windows Defender AV, il quale, attraverso alcune regole di machine Learning, ha confermato che il file potesse essere un malware e che quindi avesse bisogno di ulteriore accertamenti.

In soltanto 312 millisecondi, il servizio di protezione cloud ha restituito una valutazione preliminare. In seguito ha dato istruzioni al client di inviare un campione e continuare a bloccare il file fin quando non avesse stabilito un verdetto definitivo.

In circa due secondi, il client ha finito di caricare il campione. Una volta caricato, un sistema di file-processing backend ha analizzato il campione. Un classificatore di machine Learning, ha determinato che ci fosse più del 95% di chance che il file fosse maligno. Il servizio di cloud protection ha creato una firma che ha rimandato al client. Tutto questo nell’arco di 5 secondi.

Un secondo dopo, il client Windows Defender AV ha applicato la firma cloud e messo in quarantena il malware. Ha riportato il risultato al servizio cloud e da quel momento in poi il file è stato automaticamente bloccato, proteggendo tutti i clienti Windows PC.

Rimanete protetti con Windows 10 Creators Update
Microsoft ha molti anni di esperienza nella ricerca di malware, cyber-attacchi e operazioni cyber-criminali. Studi e ricerche hanno confermato il fatto che minacce e attacchi si evolvono giorno per giorno cercando la falla nelle precedenti soluzioni di sicurezza. Guidati dai ricercatori esperti di minacce, Microsoft utilizza sistemi di data science, machine Learning, automazione ed analisi comportamentale per migliorare continuamente le soluzioni di rilevamento minacce.

Su Windows 10 Creators Update sono stati rilasciati degli aggiornamenti importanti per Windows Defender Antivirus, il quale utilizza il servizio di protezione cloud che fornisce una protezione in tempo reale contro le minacce.

La protezione cloud-based è abilitata su Windows Defender AV di default. Per controllare che sia attiva, lanciate il Windows Defender Security Center.
Dalle Impostazioni selezionate Virus & threat protection settings ed assicuratevi che le voci Cloud-based protection e Automatic sample submission siano entrambe attive.
In ambienti enterprise, il servizio di protezione cloud può essere gestito utilizzando le Group Policy o tramite il Windows Defender Security Center app.

Se attivo, Windows Defender AV blocca qualsiasi file sospetto per 10 secondi di default, mentre interroga Windows Defender AV cloud protection service. Gli amministratori possono decidere di estendere questo periodo di tempo fino ad un minuto per dare al servizio cloud il tempo di effettuare altre analisi ed utilizzare tecniche aggiuntive per identificare nuovi malware.

In un scenario in cui minacce ed attacchi sono sempre più innovativi e sofisticati e in cui gli attacchi malware impiegano poche ore a raggiungere i loro obiettivi, è cruciale essere in grado di rispondere in tempo reale. Con Windows 10 Creators Update e gli investimenti che ha fatto nel servizio di protezione cloud, Microsoft è ora in grado di individuare le ultimissime minacce in pochi secondi e distruggere un attacco malware prima che inizi ad intaccare il vostro PC.