💡 Ne manquez plus l’essentiel
Les derniers articles
Toutes les catégories
Illustration d’un système de cybersécurité EDR représenté par un cadenas numérique au centre d’un circuit imprimé, entouré de blocs de glace symbolisant un gel ou un blocage informatique.

EDR‑Freeze : comment un composant de Windows gèle les antivirus

Offrez un café pour soutenir cette veille indépendante.

☕ Je soutiens DCOD
EDR‑Freeze illustre une tactique utilisant des composants Windows par défaut pour mener des actions malveillantes

En bref

  • EDR‑Freeze détourne la fonction de création de minidump, qui suspend brièvement un processus, pour prolonger cette mise en pause.
  • La méthode repose sur WerFaultSecure.exe, un composant Windows capable d’interagir avec des processus protégés.
  • Une condition de course permet de bloquer la reprise normale du processus, laissant l’antivirus figé.
  • La détection passe par la surveillance d’appels inhabituels de WerFaultSecure visant des processus sensibles comme les EDR.

Un nouvel outil appelé EDR‑Freeze démontre comment détourner des fonctions légitimes de Windows pour neutraliser temporairement un antivirus ou un agent de détection d’attaques. Plutôt que d’utiliser un pilote vulnérable difficile à installer et risqué, la méthode exploite le mécanisme de création de minidump. Normalement, ce mécanisme suspend brièvement un programme afin d’en copier la mémoire. En prolongeant artificiellement cette suspension, il devient possible de laisser l’agent de sécurité dans un état d’arrêt temporaire.

Comment la technique fonctionne

La fonction MiniDumpWriteDump de Windows crée une image mémoire d’un processus pour faciliter le débogage. Pendant cette opération, tous les fils d’exécution du processus ciblé sont mis en pause afin d’éviter des incohérences. En temps normal, la pause est très courte. L’outil EDR‑Freeze parvient à prolonger cette suspension en bloquant le programme qui a lancé le dump.

Le programme clé s’appelle WerFaultSecure.exe. Il appartient au système de rapport d’erreurs de Windows et peut fonctionner avec des privilèges élevés lui permettant d’interagir avec des processus protégés. En lançant WerFaultSecure avec certains paramètres, on lui demande de créer un minidump d’un agent de sécurité comme un antivirus. Au moment où ce processus est suspendu, EDR‑Freeze interrompt WerFaultSecure lui‑même. Le résultat est simple : l’antivirus ne reprend jamais son activité et reste figé tant que WerFaultSecure n’est pas relancé.

Cette manipulation est qualifiée d’attaque par condition de course. Elle repose sur un enchaînement très rapide d’actions où l’outil doit suspendre le bon programme au moment exact. Les démonstrations montrent que cela peut être reproduit depuis l’espace utilisateur, c’est‑à‑dire sans installer de composant externe ni modifier le cœur du système. Le chercheur à l’origine du PoC a mis à disposition un dépôt public décrivant le fonctionnement et fournissant un exemple d’utilisation Zero Salarium article.

Conséquences pour la sécurité

Lorsqu’un antivirus ou un EDR est figé, il cesse d’analyser les fichiers, d’enregistrer les événements et d’alerter sur des comportements suspects. Cela offre une fenêtre d’opportunité à un attaquant déjà présent sur la machine. Des tests ont montré que le processus de Windows Defender pouvait être arrêté de cette façon pendant la durée choisie, par exemple plusieurs secondes ou minutes.

Cette technique intéresse bien sûr les attaquants parce qu’elle évite d’introduire un pilote vulnérable dans le système, ce qui est souvent détecté par les défenses modernes. Ici, tout repose sur des composants Windows déjà présents, ce qui rend la détection plus difficile. Le caractère discret de l’attaque est renforcé par son exécution en mode utilisateur, limitant les traces visibles dans le système.

Pour les défenseurs, la menace est réelle mais peut être surveillée. Les experts recommandent de contrôler les exécutions de WerFaultSecure.exe et de vérifier s’il cible des processus sensibles comme lsass.exe, un agent EDR ou un antivirus. Une telle activité doit déclencher une alerte prioritaire et conduire à une analyse approfondie. Une présentation plus large du sujet est disponible dans CybersecurityNews, qui détaille aussi les résultats des tests réalisés.

En résumé, EDR‑Freeze met en lumière une faiblesse de conception plutôt qu’une faille logicielle. Le simple fait de détourner la suspension temporaire d’un processus pour la prolonger permet d’aveugler brièvement la sécurité. Les équipes de défense doivent anticiper ce type de scénario dans leurs exercices et vérifier que leurs outils remontent bien des alertes en cas d’usage suspect de WerFaultSecure. Microsoft a affirmé que les utilisateurs de Defender ne sont pas affectés et que les tentatives sont bloquées, mais l’existence de ce PoC rappelle que même des fonctions prévues pour le diagnostic peuvent devenir des armes. La vigilance repose donc sur la capacité à surveiller et corréler des événements système inhabituels.

Un complément d’explication a été publié par BleepingComputer, qui rapporte également la réaction de Microsoft sur ce PoC.

💡 Ne manquez plus l'essentiel
Recevez les analyses et tendances cybersécurité directement dans votre boîte mail.

💡 Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille. Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.

Vous appréciez ces analyses ?
Soutenez DCOD en offrant un café ☕

Oui pour un café merci !
Etiquettes

Le créateur et l'éditeur de DCOD.CH - Restons en contact !

📚 Pour prolonger la réflexion ou approfondir certains points abordés, voici quelques lectures recommandées par DCOD :

Des idées de lecture cybersécurité

Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

100 Faits à Savoir sur la Cybersécurité

🤔 Vous êtes-vous déjà demandé comment les hackers parviennent à pénétrer des systèmes apparemment sécurisés ? Pourquoi entendons-nous tant parler des botnets et que peuvent-ils vraiment faire ? Et qu'en est-il de ce fameux quantum computing qui menace de bouleverser la cryptographie ?

📘 Voir sur Amazon
Page frontale du livre Hacking et Cybersécurité Mégapoche pour les Nuls

Hacking et Cybersécurité Mégapoche pour les Nuls

Protéger-vous des hackers en déjouant toutes leurs techniques d'espionnage et d'intrusions et mettez en place une stratégie de cybersécurité dans votre entreprise grace à ce lvre 2 en 1.

📘 Voir sur Amazon
Ethical Hacking

Sécurité informatique - Ethical Hacking

Ce livre a pour objectif d'initier le lecteur aux techniques des attaquants pour lui apprendre comment se défendre.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏