Исследователь TwoSevenOneThree (Zero Salarium) разработал новый метод и концептуальный инструмент под названием EDR-Freeze, который позволяет реализовать обход решений безопасности из пользовательского режима с помощью системы отчетов об ошибках Windows (WER) от Microsoft.

Представленная технология не требует уязвимого драйвера и способна переводить работу агентов безопасности, таких как EDR, в состояние гибернации.

Используя фреймворк WER вместе с API MiniDumpWriteDump, исследователь нашел способ приостановить на неопределенный срок активность EDR и антивирусных процессов.

Существующие методы отключения EDR основаны на технике BYOVD, когда злоумышленники берут легитимный, но уязвимый драйвер ядра и используют его для повышения привилегий.

К основным недостаткам атак BYOVD относятся необходимость доставки драйвера в целевую систему, обход защиты выполнения и удаление артефактов на уровне ядра, которые могут раскрыть операцию.

EDR-Freeze описывается как гораздо более скрытый метод, не требующий драйвера ядра, работающий полностью в пользовательском режиме и использующий легитимные компоненты Windows, которые по умолчанию присутствуют в операционной системе.

WerFaultSecure представляет собой компонент отчетов об ошибках Windows, работающий с привилегиями Protected Process Light (PPL), предназначенный для сбора аварийных дампов конфиденциальных системных процессов для отладки и диагностики.

MiniDumpWriteDump - это API в библиотеке DbgHelp, который генерирует снимок памяти и состояния процесса (минидамп).

При этом все потоки целевого процесса приостанавливаются и возобновляются после завершения задания.

EDR-Freeze задействуетль TwoSevenOneThree (Zero Salarium) разработал который временно приостанавливает все потоки в целевом процессе на время записи дампа.

Во время этого процесса злоумышленник приостанавливает сам процесс WerFaultSecure, поэтому дампер никогда не возобновляет работу с целью, оставляя процесс AV в состоянии «комы».

Помимо описания самого механизма исследователь также разработал инструмент, обеспечивающий автоматизацию всей атаки, тестирование
которого было успешно проведено на Windows 11 24H2 и завершилось приостановкой процесса Защитника Windows.

Описанная новая атака объединяет предполагаемое поведение MiniDumpWriteDump и WerFaultSecure, так что это скорее недостаток реализации, нежели уязвимость в Windows.

Защититься от EDR-Freeze можно, отслеживая, указывает ли WER на идентификатор конфиденциального процесса, такого как LSASS или инструменты безопасности.

Для этой цели исследователь Стивен Лим представил утилиту, которая сопоставляет WerFaultSecure с процессами конечных точек Microsoft Defender.

Тем не менее, в самой Microsoft пока никак не комментируют недостаток и вообще непонятно, будут ли она как-то реагировать. Но будем посмотреть.