Современные технологии защиты информации и систем безопасности сталкиваются с новым вызовом: инструмент EDR-Freeze, предназначенный для демонстрации уязвимости в системах защиты, использует механизм Windows Error Reporting (WER) для обхода антивирусных и EDR-решений. Как отмечается, этот подход позволяет обойти средства безопасности, приводя их в состояние бездействия, без использования уязвимости в драйверах ядра.
Как работает EDR-Freeze
EDR-Freeze основан на взаимодействии компонентов WerFaultSecure, работающих в качестве защищенного процесса, и API MiniDumpWriteDump. Используя эту связку, инструмент временно «замораживает» все потоки целевого процесса, создавая дамп в MiniDump. Сделав это, EDR-Freeze активирует дамп самого процесса EDR и затем приостанавливает работу WerFaultSecure, что оставляет целевой процесс в бездействии на неопределенное время.
Метод, предложенный исследователем, представляет собой гонку условий, состоящую из четырех этапов: запуск WerFaultSecure в качестве защищенного процесса, инструкция по вызову MiniDumpWriteDump для целевого идентификатора процесса, ожидание приостановки целевого процесса и, наконец, приостановка самого WerFaultSecure (с помощью NtSuspendProcess) для обеспечения долговременной «заморозки» дампера.
Потенциальные угрозы и меры защиты
Эффективность EDR-Freeze была продемонстрирована на Windows 11 24H2, где удалось успешно приостановить процесс Windows Defender. Это поведение объясняется особенностями взаимодействия MiniDumpWriteDump и WerFaultSecure и рассматривается как слабое место в конструкции, а не как классическая уязвимость.
Возможные защитные меры включают мониторинг WER для вызовов, которые затрагивают чувствительные процессы, такие как LSASS, и процессы безопасности. Также рекомендуется отслеживать активность WerFaultSecure в отношении процессов Microsoft Defender Endpoint. Microsoft может укрепить компоненты WER путем ограничения подозрительных вызовов или разрешенных параметров.
Редакция BleepingComputer обратилась в Microsoft за комментарием по данному вопросу, однако на момент публикации ответ не был получен. Эксперты рекомендуют компаниям усилить меры кибербезопасности, чтобы противостоять новым видам угроз.
Комментарии (0)
Создание новых комментариев временно недоступно.