Código HTML do Conteúdo
Post: Nova ferramenta EDR-Freeze usa o Windows WER para suspender software de segurança - Against Invaders - Notícias de CyberSecurity para humanos.
<div>
<div>
<p>Um novo método e ferramenta de prova de conceito chamado EDR-Freeze demonstra que é possível evitar soluções de segurança no modo de usuário com o sistema Windows Error Reporting (WER) da Microsoft.</p>
<p>A técnica elimina a necessidade de um driver vulnerável e coloca agentes de segurança como ferramentas de detecção e resposta de endpoint (EDR) em um estado de hibernação.</p>
<p>Usando a estrutura do WER junto com a API MiniDumpWriteDump, o pesquisador de segurança <a href="https://www.zerosalarium.com/2025/09/EDR-Freeze-Puts-EDRs-Antivirus-Into-Coma.html" rel="nofollow noopener" target="_blank">TwoSevenOneThree (Salarium Zero)</a>encontrou uma maneira desuspender indefinidamente a atividade de processos de EDR e antivírus indefinidamente.</p>
<p>Os métodos de desativação de EDR existentes operam com base na técnica “Bring Your Own Vulnerable Driver” (BYOVD), em que os invasores pegam um driver de kernel legítimo, mas vulnerável, e o exploram para escalonamento de privilégios.</p>
<p>As principais desvantagens nos ataques BYOVD incluem a necessidade de contrabandear o driver para o sistema de destino, ignorar as proteções de execução e limpar artefatos no nível do kernel que podem expor a operação.</p>
<p>O EDR-Freeze é descrito como um método muito mais furtivo que não requer driver de kernel, funciona inteiramente no modo de usuário e aproveita componentes legítimos do Windows que estão presentes por padrão no sistema operacional.</p>
<h2>Como funciona o EDR-Freeze</h2>
<p>WerFaultSecure é um componente de Relatório de Erros do Windows que é executado com privilégios PPL (Protected Process Light), projetado para coletar despejos de memória de processos confidenciais do sistema para fins de depuração e diagnóstico.</p>
<p>MiniDumpWriteDump é uma API na biblioteca DbgHelp que gera um instantâneo (“minidump”) da memória e do estado de um processo. Ao fazer isso, ele suspende todos os threads do processo de destino e os retoma após a conclusão do trabalho.</p>
<p>O EDR-Freeze aproveita o WerFaultSecure para disparar MiniDumpWriteDump, que suspende temporariamente todos os threads no processo de destino enquanto o despejo é gravado.</p>
<p>Durante esse processo, o invasor suspende o próprio processo WerFaultSecure, para que o dumper nunca retome o destino, deixando o processo AV em um estado de “coma”.</p>
<p>O pesquisador descreve isso como um ataque de condição de corrida que pode ser reproduzido em quatro etapas:</p>
<ol>
<li>Gere WerFaultSecure como uma PPL.</li>
<li>Passe argumentos para WerFaultSecure para que ele chame MiniDumpWriteDump no PID de destino.</li>
<li>Sonde o destino até que ele seja suspenso pela operação de despejo.</li>
<li>Abra imediatamente WerFaultSecure (PROCESS_SUSPEND_RESUME) e chame NtSuspendProcess para congelar o dumper.</li>
</ol>
<p>O pesquisador também <a href="https://github.com/TwoSevenOneT/EDR-Freeze" rel="nofollow noopener" target="_blank">publicou uma ferramenta</a> que executa essas ações e testou no Windows 11 24H2, congelando com sucesso o processo do Windows Defender.</p>
<div>
<p><img decoding="async" alt="Definindo os parâmetros (à esquerda) e suspendendo o Windows Defender (à direita)" height="307" src="https://datalake.azaeo.com/wp-content/uploads/2025/09/target-time.jpg" width="1200 /></div>
<p>This novel attack chains the intended behavior of both MiniDumpWriteDump and WerFaultSecure, so this is more of a design weakness than a vulnerability in Windows.</p>
<p>Defending against EDR-Freeze is possible by monitoring if WER poinnts to the identifier of a sensitive process such as LSASS or security tools. To this purpose, security researcher <a href=">Steven Lim desenvolveu uma ferramenta que mapeiaWerFaultSecure para processos do Microsoft Defender Endpoint.</p>
<p>Ainda assim, a Microsoft poderia tomar medidas para proteger esses componentes do Windows contra abusos, como bloquear invocações suspeitas, permitir apenas determinados PIDs ou restringir os parâmetros possíveis.</p>
<p>O BleepingComputer entrou em contato com a Microsoft para comentar sobre como se defender contra essa técnica e atualizaremos esta postagem assim que recebermos uma resposta.</p>
<p><a href="https://hubs.li/Q03B5Kw_0" rel="noopener sponsored" target="_blank"><br />
<img decoding="async" alt="Relatório Picus Blue 2025" src="https://datalake.azaeo.com/wp-content/uploads/2025/08/blue-report-2025.jpg"><br />
</a>
</p>
</div>
</div></div>