EDR‑Freeze : comment un composant de Windows gèle les antivirus

EDR‑Freeze illustre une tactique utilisant des composants Windows par défaut pour mener des actions malveillantes

Un nouvel outil appelé EDR‑Freeze démontre comment détourner des fonctions légitimes de Windows pour neutraliser temporairement un antivirus ou un agent de détection d’attaques. Plutôt que d’utiliser un pilote vulnérable difficile à installer et risqué, la méthode exploite le mécanisme de création de minidump. Normalement, ce mécanisme suspend brièvement un programme afin d’en copier la mémoire. En prolongeant artificiellement cette suspension, il devient possible de laisser l’agent de sécurité dans un état d’arrêt temporaire.

Comment la technique fonctionne

La fonction MiniDumpWriteDump de Windows crée une image mémoire d’un processus pour faciliter le débogage. Pendant cette opération, tous les fils d’exécution du processus ciblé sont mis en pause afin d’éviter des incohérences. En temps normal, la pause est très courte. L’outil EDR‑Freeze parvient à prolonger cette suspension en bloquant le programme qui a lancé le dump.

Le programme clé s’appelle WerFaultSecure.exe. Il appartient au système de rapport d’erreurs de Windows et peut fonctionner avec des privilèges élevés lui permettant d’interagir avec des processus protégés. En lançant WerFaultSecure avec certains paramètres, on lui demande de créer un minidump d’un agent de sécurité comme un antivirus. Au moment où ce processus est suspendu, EDR‑Freeze interrompt WerFaultSecure lui‑même. Le résultat est simple : l’antivirus ne reprend jamais son activité et reste figé tant que WerFaultSecure n’est pas relancé.

Cette manipulation est qualifiée d’attaque par condition de course. Elle repose sur un enchaînement très rapide d’actions où l’outil doit suspendre le bon programme au moment exact. Les démonstrations montrent que cela peut être reproduit depuis l’espace utilisateur, c’est‑à‑dire sans installer de composant externe ni modifier le cœur du système. Le chercheur à l’origine du PoC a mis à disposition un dépôt public décrivant le fonctionnement et fournissant un exemple d’utilisation Zero Salarium article.

Conséquences pour la sécurité

Lorsqu’un antivirus ou un EDR est figé, il cesse d’analyser les fichiers, d’enregistrer les événements et d’alerter sur des comportements suspects. Cela offre une fenêtre d’opportunité à un attaquant déjà présent sur la machine. Des tests ont montré que le processus de Windows Defender pouvait être arrêté de cette façon pendant la durée choisie, par exemple plusieurs secondes ou minutes.

Cette technique intéresse bien sûr les attaquants parce qu’elle évite d’introduire un pilote vulnérable dans le système, ce qui est souvent détecté par les défenses modernes. Ici, tout repose sur des composants Windows déjà présents, ce qui rend la détection plus difficile. Le caractère discret de l’attaque est renforcé par son exécution en mode utilisateur, limitant les traces visibles dans le système.

Pour les défenseurs, la menace est réelle mais peut être surveillée. Les experts recommandent de contrôler les exécutions de WerFaultSecure.exe et de vérifier s’il cible des processus sensibles comme lsass.exe, un agent EDR ou un antivirus. Une telle activité doit déclencher une alerte prioritaire et conduire à une analyse approfondie. Une présentation plus large du sujet est disponible dans CybersecurityNews, qui détaille aussi les résultats des tests réalisés.

En résumé, EDR‑Freeze met en lumière une faiblesse de conception plutôt qu’une faille logicielle. Le simple fait de détourner la suspension temporaire d’un processus pour la prolonger permet d’aveugler brièvement la sécurité. Les équipes de défense doivent anticiper ce type de scénario dans leurs exercices et vérifier que leurs outils remontent bien des alertes en cas d’usage suspect de WerFaultSecure. Microsoft a affirmé que les utilisateurs de Defender ne sont pas affectés et que les tentatives sont bloquées, mais l’existence de ce PoC rappelle que même des fonctions prévues pour le diagnostic peuvent devenir des armes. La vigilance repose donc sur la capacité à surveiller et corréler des événements système inhabituels.

Un complément d’explication a été publié par BleepingComputer, qui rapporte également la réaction de Microsoft sur ce PoC.