Современные технологии защиты информации и систем безопасности сталкиваются с новым вызовом: инструмент EDR-Freeze, предназначенный для демонстрации уязвимости в системах защиты, использует механизм Windows Error Reporting (WER) для обхода антивирусных и EDR-решений. Как отмечается, этот подход позволяет обойти средства безопасности, приводя их в состояние бездействия, без использования уязвимости в драйверах ядра.
Как работает EDR-Freeze
EDR-Freeze основан на взаимодействии компонентов WerFaultSecure, работающих в качестве защищенного процесса, и API MiniDumpWriteDump. Используя эту связку, инструмент временно «замораживает» все потоки целевого процесса, создавая дамп в MiniDump. Сделав это, EDR-Freeze активирует дамп самого процесса EDR и затем приостанавливает работу WerFaultSecure, что оставляет целевой процесс в бездействии на неопределенное время.
Метод, предложенный исследователем, представляет собой гонку условий, состоящую из четырех этапов: запуск WerFaultSecure в качестве защищенного процесса, инструкция по вызову MiniDumpWriteDump для целевого идентификатора процесса, ожидание приостановки целевого процесса и, наконец, приостановка самого WerFaultSecure (с помощью NtSuspendProcess) для обеспечения долговременной «заморозки» дампера.
Потенциальные угрозы и меры защиты
Эффективность EDR-Freeze была продемонстрирована на Windows 11 24H2, где удалось успешно приостановить процесс Windows Defender. Это поведение объясняется особенностями взаимодействия MiniDumpWriteDump и WerFaultSecure и рассматривается как слабое место в конструкции, а не как классическая уязвимость.
Возможные защитные меры включают мониторинг WER для вызовов, которые затрагивают чувствительные процессы, такие как LSASS, и процессы безопасности. Также рекомендуется отслеживать активность WerFaultSecure в отношении процессов Microsoft Defender Endpoint. Microsoft может укрепить компоненты WER путем ограничения подозрительных вызовов или разрешенных параметров.
Редакция BleepingComputer обратилась в Microsoft за комментарием по данному вопросу, однако на момент публикации ответ не был получен. Эксперты рекомендуют компаниям усилить меры кибербезопасности, чтобы противостоять новым видам угроз.
