Código HTML do Conteúdo
Post: Os hackers implantam uma nova ferramenta EDR-Freeze para desativar o software de segurança
<div>
<div>
<p>Um pesquisador de segurança divulgou uma nova ferramenta que pode desativar temporariamente os sistemas de detecção e resposta de terminais (EDR) e software antivírus sem exigir fatores vulneráveis, marcando uma evolução significativa nas técnicas de ataque direcionadas a soluções de segurança.</p>
<h2 id="h-advanced-evasion-through-windows-components"><strong>Evasão avançada através de componentes do Windows</strong></h2>
<p>A ferramenta, apelidada de congelamento e <a href="https://www.zerosalarium.com/2025/09/EDR-Freeze-Puts-EDRs-Antivirus-Into-Coma.html" rel="noreferrer noopener nofollow" target="_blank">desenvolvido</a> Pelo pesquisador TwosevenOnet, explora a funcionalidade de relatório de erro do Windows para suspender os processos de segurança por meio de um sofisticado ataque de condição de corrida.</p>
<p>Ao contrário do tradicional, traga suas próprias técnicas de driver vulnerável (BYOVD) que exigem que os invasores implantem drivers maliciosos, o EDR-Freeze opera inteiramente no modo de usuário usando componentes legítimos do Windows.</p>
<p>O ataque aproveita a função MinidumpWriteDump da biblioteca DBGHELP do Windows, que cria instantâneos de memória de processos de execução para fins de depuração.</p>
<p>Durante esta operação, a função suspende todos os threads no processo de destino para garantir a captura de memória consistente.</p>
<p>O EDR-Freeze explora esse comportamento, acionando o processo de despejo contra o software de segurança e suspendendo o próprio processo de dumping, deixando a solução de segurança de destino congelada indefinidamente.</p>
<p>A técnica tem como alvo especificamente o processo werfaultSecure.exe <a href="https://gbhackers.com/new-chrome-installer-fails-on-windows-10-11/" rel="noreferrer noopener" target="_blank">Erro do Windows </a>Componente de relatório que pode ser executado com privilégios de luz de processo protegidos (PPL) no nível Wintcb.</p>
<p>Ao combinar isso com a ferramenta CreateProcessappl, os invasores podem ignorar os mecanismos de proteção de pessoas que normalmente protegem os processos de segurança do acesso não autorizado.</p>
<p>O pesquisador demonstrou o EDR-Freeze suspendendo com sucesso <a href="https://gbhackers.com/microsoft-windows-defender-firewall-vulnerabilities/" rel="noreferrer noopener" target="_blank">Windows Defender’s</a> Processo msmpeng.exe no Windows 11 24h2 por uma duração especificada.</p>
<p>A ferramenta aceita dois parâmetros: o ID do processo do software de segurança de destino e a duração da suspensão, permitindo que os invasores desativem temporariamente o monitoramento durante atividades maliciosas.</p>
<p>Essa abordagem aborda as principais limitações dos ataques BYOVD, que requerem implantação de drivers vulneráveis ​​que podem desencadear alertas em sistemas monitorados. O EDR-Freeze usa apenas processos legítimos do Windows, tornando a detecção mais desafiadora para as equipes de segurança.</p>
<p>O lançamento da ferramenta destaca a dinâmica em andamento de gato e rato entre invasores e fornecedores de segurança.</p>
<p>À medida que as soluções EDR se tornam mais sofisticadas na detecção de técnicas BYOVD, os atores de ameaças estão desenvolvendo métodos alternativos para alcançar objetivos semelhantes usando a funcionalidade do sistema operacional interno.</p>
<p>As equipes de segurança podem monitorar o uso potencial do EDR-Freeze, examinando os parâmetros da linha de comando werfaultSecure.exe.</p>
<p>A atividade suspeita inclui os processos de sistema sensível ao processo, como LSASS, motores antivírus ou agentes EDR, o que pode indicar a tentativa de manipulação de software de segurança.</p>
<p>O pesquisador disponibilizou publicamente o código-fonte da EDR-Freeze no GitHub, enfatizando seu uso para pesquisas de segurança legítimas e exercícios da equipe vermelha.</p>
<p>No entanto, as capacidades da ferramenta levantam preocupações sobre potencial uso indevido por atores maliciosos que buscam evitar os controles de segurança durante os ataques.</p>
<p>As organizações devem revisar seus recursos de monitoramento de segurança para detectar a atividade incomum werfaultSecure.exe e considerar a implementação de mecanismos adicionais de proteção de processos além das salvaguardas padrão do PPL para se defender contra essa técnica de evasão emergente.</p>
<p><strong>Encontre esta história interessante! Siga -nos<a href="https://www.linkedin.com/company/cybersecurity-news/" rel="noreferrer noopener" target="_blank">LinkedIn</a>e<a href="https://x.com/cyber_press_org" rel="noreferrer noopener" target="_blank">X</a>Para obter mais atualizações instantâneas</strong>.</p>
</div></div>