Când protecția se bazează pe mecanisme interne ale sistemului de operare, apar și modalități ingenioase de a le ocoli. Cercetătorul TwoSevenOneThree, cunoscut și sub numele Zero Salarium, a demonstrat într-un laborator o tehnică care poate pune în hibernare procesele soluțiilor de securitate din Windows, utilizând exclusiv componentele standard din modul utilizator, fără a instala drivere vulnerabile.
Tehnica, denumită EDR‑Freeze, exploatează Windows Error Reporting și API‑ul MiniDumpWriteDump din biblioteca DbgHelp. De regulă, WerFaultSecure rulează cu privilegiile Protected Process Light pentru a colecta dump‑uri ale proceselor sensibile, iar MiniDumpWriteDump creează un snapshot al memoriei procesului țintă, suspendând temporar toate firele și reluându‑le după salvarea dump‑ului. TwoSevenOneThree a combinat aceste comportamente: pornește WerFaultSecure astfel încât acesta să invoce MiniDumpWriteDump pentru un proces EDR sau antivirus. Când operațiunea suspendă procesul țintă, atacatorul îngheață chiar WerFaultSecure apelând NtSuspendProcess, iar dumper‑ul nu își reia execuția. Efectul: procesul EDR rămâne suspendat pe termen nelimitat, practic în stare de „coma”, fără necesitatea unui driver kernel sau a unei exploatări complexe. Pare un truc de magie, dar e mai degrabă un joc de sincronizare al mecanismelor Windows.
Anterior, metodele de dezactivare a EDR‑urilor se bazau pe abordarea Bring Your Own Vulnerable Driver, adică introducerea unui driver legitim, dar vulnerabil, pentru escaladare de privilegii. Această tehnică implică însă riscuri logistice: driverul trebuie adus pe sistem, trebuie ocolite protecțiile de execuție și trebuie șterse urmele la nivel kernel. EDR‑Freeze evită aceste etape, fiind mai discretă deoarece folosește componente deja prezente în Windows și acționează din modul utilizator.
Cercetătorul descrie atacul ca pe o condiție de tip race reproducibilă în patru pași: lansarea WerFaultSecure ca PPL, transmiterea argumentelor astfel încât acesta să apeleze MiniDumpWriteDump pe PID‑ul țintă, monitorizarea până când procesul țintă este suspendat de operațiunea de dump și apoi suspendarea rapidă a WerFaultSecure folosind NtSuspendProcess. Autorul a publicat și un instrument proof‑of‑concept care urmează acești pași și a demonstrat funcționarea pe Windows 11 24H2, inclusiv asupra procesului Windows Defender.
Descrierea indică faptul că problema nu reprezintă o vulnerabilitate clasică exploatabilă de la distanță, ci mai degrabă o slăbiciune de proiectare: reținerea firelor de execuție în timpul scrierii dump‑ului, combinată cu privilegiile și modul de invocare al WerFaultSecure, poate fi abuzată pentru a bloca procese esențiale. Detectarea abuzului este posibilă, de pildă, prin monitorizarea dacă WER este folosit pentru a crea dump‑uri ale unor procese sensibile precum LSASS sau ale proceselor unui endpoint. Un cercetător, Steven Lim, a dezvoltat deja un instrument care cartografiază WerFaultSecure către procesele Microsoft Defender Endpoint, ajutând la identificarea apelurilor suspecte.
Microsoft are la dispoziție câteva opțiuni de remediere: ar putea restricționa apelurile la WerFaultSecure, autorizând doar anumite PID‑uri sau parametri, sau ar putea bloca invocările neobișnuite ale MiniDumpWriteDump în contextul PPL. Redefinirea mecanismelor de acces și o verificare mai strictă a parametrilor ar complica repetarea aceleiași strategii. BleepingComputer a solicitat un punct de vedere Microsoft și va actualiza materialul când va primi un răspuns.
EDR‑Freeze evidențiază cât de atent trebuie proiectate și supravegheate mecanismele interne de diagnostic. Capacitatea de a folosi un instrument legitim al sistemului pentru a neutraliza protecția subliniază contrastul dintre utilitatea funcțiilor de depanare și riscurile lor în mâini greșite. Exemple concrete din acest caz includ apelurile către MiniDumpWriteDump, rolul WerFaultSecure ca PPL și testele efectuate pe Windows 11 24H2 care au înghețat procesul Windows Defender. Ce semnale ar trebui urmărite de administratorii de securitate pentru a detecta astfel de abuzuri?
Fii primul care comentează