Koelman.IT

Stay Hungry, Stay Foolish 💡


Nieuwe EDR-Freeze tool gebruikt Windows WER om beveiligingssoftware te onderbreken

Nieuwe Ontdekking: EDR-Freeze Tool Zet Beveiligingssoftware in ‘Coma’ met Windows WER

Een innovatieve methode, EDR-Freeze genaamd, laat zien dat het mogelijk is om beveiligingsoplossingen te omzeilen via de gebruikersmodus met behulp van het Windows Error Reporting (WER) systeem van Microsoft.

Eenvoudig Omzeilen van Beveiliging

Deze techniek maakt gebruik van de WER en de MiniDumpWriteDump API om veiligheidsprogramma’s zoals endpoint detection and response (EDR) tools stil te leggen. Dit proces vereist geen kwetsbare drivers en legt beveiligingssoftware in een soort slaapstand.

Hoe Werkt EDR-Freeze?

Het geheim ligt in WerFaultSecure, een Windows-component met speciale privileges die crashdumps verzamelt voor het oplossen van systeemproblemen. De MiniDumpWriteDump API maakt een momentopname van een proces, waarbij het tijdelijk alle threads pauzeert.

EDR-Freeze gebruikt WerFaultSecure om MiniDumpWriteDump te activeren. Door het proces te onderbreken terwijl de dump wordt gemaakt, blijft de antivirussoftware in een ‘coma’.

Vier Eenvoudige Stappen

  1. Start WerFaultSecure met speciale privileges.
  2. Zorg dat het de MiniDumpWriteDump oproept voor het gewenste proces.
  3. Wacht tot het doelproces gepauzeerd is.
  4. Pauzeer onmiddellijk het proces dat de dump maakt met NtSuspendProcess.

Ontdekkingen en Tegenmaatregelen

Onderzoeker TwoSevenOneThree demonstreerde deze methode op Windows 11. Deze aanval gebruikt het ontwerp van MiniDumpWriteDump en WerFaultSecure. Dit benadrukt een ontwerpfout in plaats van een kwetsbaarheid.

Verdediging tegen EDR-Freeze is mogelijk door de WER-activiteiten goed te monitoren. Security expert Steven Lim stelde een tool voor die WerFaultSecure in kaart brengt met processen van Microsoft Defender Endpoint.

Microsoft kan aanvullende maatregelen nemen om misbruik te voorkomen, zoals het blokkeren van verdachte oproepen of het beperken van parameters.

BleepingComputer heeft Microsoft om commentaar gevraagd over verdedigingstechnieken en zal dit artikel bijwerken zodra er meer informatie beschikbaar is.

Aanvullende Informatie

Uit rapporten blijkt dat 46% van de omgevingen te maken had met gekraakte wachtwoorden, bijna een verdubbeling ten opzichte van vorig jaar. Download het Picus Blue Report 2025 voor meer details over beveiligingstrends.



---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.