Navigation
Les derniers articles
Suivez en direct

EDR‑Freeze : comment un composant de Windows gèle les antivirus

Illustration d’un système de cybersécurité EDR représenté par un cadenas numérique au centre d’un circuit imprimé, entouré de blocs de glace symbolisant un gel ou un blocage informatique.
EDR‑Freeze illustre une tactique utilisant des composants Windows par défaut pour mener des actions malveillantes

En bref

  • EDR‑Freeze détourne la fonction de création de minidump, qui suspend brièvement un processus, pour prolonger cette mise en pause.
  • La méthode repose sur WerFaultSecure.exe, un composant Windows capable d’interagir avec des processus protégés.
  • Une condition de course permet de bloquer la reprise normale du processus, laissant l’antivirus figé.
  • La détection passe par la surveillance d’appels inhabituels de WerFaultSecure visant des processus sensibles comme les EDR.

Un nouvel outil appelé EDR‑Freeze démontre comment détourner des fonctions légitimes de Windows pour neutraliser temporairement un antivirus ou un agent de détection d’attaques. Plutôt que d’utiliser un pilote vulnérable difficile à installer et risqué, la méthode exploite le mécanisme de création de minidump. Normalement, ce mécanisme suspend brièvement un programme afin d’en copier la mémoire. En prolongeant artificiellement cette suspension, il devient possible de laisser l’agent de sécurité dans un état d’arrêt temporaire.

Comment la technique fonctionne

La fonction MiniDumpWriteDump de Windows crée une image mémoire d’un processus pour faciliter le débogage. Pendant cette opération, tous les fils d’exécution du processus ciblé sont mis en pause afin d’éviter des incohérences. En temps normal, la pause est très courte. L’outil EDR‑Freeze parvient à prolonger cette suspension en bloquant le programme qui a lancé le dump.

Le programme clé s’appelle WerFaultSecure.exe. Il appartient au système de rapport d’erreurs de Windows et peut fonctionner avec des privilèges élevés lui permettant d’interagir avec des processus protégés. En lançant WerFaultSecure avec certains paramètres, on lui demande de créer un minidump d’un agent de sécurité comme un antivirus. Au moment où ce processus est suspendu, EDR‑Freeze interrompt WerFaultSecure lui‑même. Le résultat est simple : l’antivirus ne reprend jamais son activité et reste figé tant que WerFaultSecure n’est pas relancé.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

Cette manipulation est qualifiée d’attaque par condition de course. Elle repose sur un enchaînement très rapide d’actions où l’outil doit suspendre le bon programme au moment exact. Les démonstrations montrent que cela peut être reproduit depuis l’espace utilisateur, c’est‑à‑dire sans installer de composant externe ni modifier le cœur du système. Le chercheur à l’origine du PoC a mis à disposition un dépôt public décrivant le fonctionnement et fournissant un exemple d’utilisation Zero Salarium article.

Conséquences pour la sécurité

Lorsqu’un antivirus ou un EDR est figé, il cesse d’analyser les fichiers, d’enregistrer les événements et d’alerter sur des comportements suspects. Cela offre une fenêtre d’opportunité à un attaquant déjà présent sur la machine. Des tests ont montré que le processus de Windows Defender pouvait être arrêté de cette façon pendant la durée choisie, par exemple plusieurs secondes ou minutes.

Cette technique intéresse bien sûr les attaquants parce qu’elle évite d’introduire un pilote vulnérable dans le système, ce qui est souvent détecté par les défenses modernes. Ici, tout repose sur des composants Windows déjà présents, ce qui rend la détection plus difficile. Le caractère discret de l’attaque est renforcé par son exécution en mode utilisateur, limitant les traces visibles dans le système.

Pour les défenseurs, la menace est réelle mais peut être surveillée. Les experts recommandent de contrôler les exécutions de WerFaultSecure.exe et de vérifier s’il cible des processus sensibles comme lsass.exe, un agent EDR ou un antivirus. Une telle activité doit déclencher une alerte prioritaire et conduire à une analyse approfondie. Une présentation plus large du sujet est disponible dans CybersecurityNews, qui détaille aussi les résultats des tests réalisés.

En résumé, EDR‑Freeze met en lumière une faiblesse de conception plutôt qu’une faille logicielle. Le simple fait de détourner la suspension temporaire d’un processus pour la prolonger permet d’aveugler brièvement la sécurité. Les équipes de défense doivent anticiper ce type de scénario dans leurs exercices et vérifier que leurs outils remontent bien des alertes en cas d’usage suspect de WerFaultSecure. Microsoft a affirmé que les utilisateurs de Defender ne sont pas affectés et que les tentatives sont bloquées, mais l’existence de ce PoC rappelle que même des fonctions prévues pour le diagnostic peuvent devenir des armes. La vigilance repose donc sur la capacité à surveiller et corréler des événements système inhabituels.

Un complément d’explication a été publié par BleepingComputer, qui rapporte également la réaction de Microsoft sur ce PoC.

Cette veille vous a été utile ?
Un café = un mois de serveur. Aidez DCOD à rester gratuit et indépendant.

☕ Offrir un café
Etiquettes

Fondateur et éditeur de DCOD - Restons en contact !

A lire également

Des idées de lecture recommandées par DCOD

La cybersécurité pour les Nuls, 2ème édition

Ce livre d'informatique pour les Nuls est destiné à tous ceux qui veulent en savoir plus sur la cybersécurité. A l'heure où protéger ses données personnelles est devenu primordial sur le net, notre ouvrage vous donne les clés pour éviter le hacking et le vol de vos données. Quelque soit votre niveau en informatique, n'hésitez plus et naviguez sur le web en toute sérénité grâce à ce livre pour les Nuls !

📘 Voir sur Amazon

Cybersécurité de 0 à Expert

Vous entendez parler de cyberattaques tous les jours mais vous ne savez pas vraiment comment elles fonctionnent ? Vous voulez comprendre le monde de la cybersécurité sans jargon compliqué ni prérequis techniques ? Ce livre est votre point de départ idéal. Cybersécurité de 0 à Expert est un guide pas à pas qui vous emmène du niveau débutant jusqu’aux bases avancées, en expliquant chaque concept de façon claire et accessible.

📘 Voir sur Amazon
Page frontale du livre Les Secrets du Darknet

Les Secrets du Darknet

Écrit par DarkExplorer, un ancien hacker repenti, ce guide complet vous offre une plongée fascinante dans les coulisses du Darknet, ainsi que les outils et les techniques nécessaires pour naviguer en toute sécurité dans cet univers souvent dangereux et mystérieux.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.