Endpoint security-tools beschermen gebruikers tegen compromissen. EDR-Freeze schakelt ze echter uit via foutmeldingen binnen Windows en zonder van een kwetsbaarheid gebruik te maken.
De aanpak draait om WerFaultSecure, een Windows Error Reporting-component met Protected Process Light (PPL)-privileges. Deze dienst verzamelt crash dumps van gevoelige systeemprocessen zodat deze te debuggen zijn. EDR-Freeze misbruikt de MiniDumpWriteDump-API uit de DbgHelp-library. Een securityonderzoeker met de schermnaam TwoSevenOneThree Zero Salarium ontdekte het gevaar en legt de potentiële exploitaties uit. Het eindresultaat kan leiden tot EDR-tooling dat “in coma” raakt.
Tijdens het maken van een geheugensnaphot van een proces worden alle threads van het doelproces tijdelijk onderbroken. Normaliter worden deze threads hervat zodra de dump is voltooid. EDR-Freeze gebruikt een race condition: terwijl WerFaultSecure bezig is met het onderbreken van het EDR-proces, wordt WerFaultSecure zelf onderbroken voordat het de threads kan hervatten.
Slimmere aanpak dan BYOVD
Traditionele methoden om EDR-tools te omzeilen vertrouwen op Bring Your Own Vulnerable Driver (BYOVD)-technieken. Aanvallers gebruiken daarbij legitieme maar kwetsbare kernel drivers voor privilege escalation. Deze aanpak brengt echter risico’s met zich mee: het smokkelen van drivers naar doelsystemen, het omzeilen van uitvoeringsbeveiliging en het opruimen van kernel-sporen. Dit alles maakt de kans op exploitatie aanzienlijk kleiner dan nu het geval is.
EDR-Freeze werkt namelijk anders. TwoSevenOneThree Zero Salarium ontwikkelde een methode die volledig vanuit user mode opereert. De techniek gebruikt Windows-componenten die standaard in het besturingssysteem aanwezig zijn, waardoor geen externe drivers nodig zijn. Windows kan niet detecteren dat dit malafide gedrag is, omdat de processen in kwestie normaliter ook na elkaar zouden kunnen draaien.
Defensie mogelijk maar beperkt
Volgens de onderzoeker kan verdediging plaatsvinden door te monitoren of WER verwijst naar identifiers van gevoelige processen zoals LSASS of security-tools. Security-onderzoeker Steven Lim ontwikkelde al een tool die WerFaultSecure koppelt aan Microsoft Defender Endpoint-processen.
Microsoft zou de Windows-componenten kunnen hardenen tegen misbruik door verdachte aanroepen te blokkeren, alleen bepaalde PID’s toe te staan of mogelijke parameters te beperken. Het betreft echter meer een ontwerpzwakte dan een echte kwetsbaarheid binnen Windows, zoals BleepingComputer aangaf. De werkelijke exploitatiekans is daarnaast niet duidelijk; het is daarom goed nieuws dat een securityonderzoeker het als eerste lijkt te hebben ontdekt. De EDR-Freeze tool werd succesvol getest op Windows 11 24H2, waarbij het Windows Defender-proces werd uitgeschakeld.
Lees ook: Cybercrimineel verraadt zichzelf aan eigen securitysoftware