Navigation
Les derniers articles
Suivez en direct

EDR‑Freeze : comment un composant de Windows gèle les antivirus

Illustration d’un système de cybersécurité EDR représenté par un cadenas numérique au centre d’un circuit imprimé, entouré de blocs de glace symbolisant un gel ou un blocage informatique.
EDR‑Freeze illustre une tactique utilisant des composants Windows par défaut pour mener des actions malveillantes

En bref

  • EDR‑Freeze détourne la fonction de création de minidump, qui suspend brièvement un processus, pour prolonger cette mise en pause.
  • La méthode repose sur WerFaultSecure.exe, un composant Windows capable d’interagir avec des processus protégés.
  • Une condition de course permet de bloquer la reprise normale du processus, laissant l’antivirus figé.
  • La détection passe par la surveillance d’appels inhabituels de WerFaultSecure visant des processus sensibles comme les EDR.

Un nouvel outil appelé EDR‑Freeze démontre comment détourner des fonctions légitimes de Windows pour neutraliser temporairement un antivirus ou un agent de détection d’attaques. Plutôt que d’utiliser un pilote vulnérable difficile à installer et risqué, la méthode exploite le mécanisme de création de minidump. Normalement, ce mécanisme suspend brièvement un programme afin d’en copier la mémoire. En prolongeant artificiellement cette suspension, il devient possible de laisser l’agent de sécurité dans un état d’arrêt temporaire.

Comment la technique fonctionne

La fonction MiniDumpWriteDump de Windows crée une image mémoire d’un processus pour faciliter le débogage. Pendant cette opération, tous les fils d’exécution du processus ciblé sont mis en pause afin d’éviter des incohérences. En temps normal, la pause est très courte. L’outil EDR‑Freeze parvient à prolonger cette suspension en bloquant le programme qui a lancé le dump.

Le programme clé s’appelle WerFaultSecure.exe. Il appartient au système de rapport d’erreurs de Windows et peut fonctionner avec des privilèges élevés lui permettant d’interagir avec des processus protégés. En lançant WerFaultSecure avec certains paramètres, on lui demande de créer un minidump d’un agent de sécurité comme un antivirus. Au moment où ce processus est suspendu, EDR‑Freeze interrompt WerFaultSecure lui‑même. Le résultat est simple : l’antivirus ne reprend jamais son activité et reste figé tant que WerFaultSecure n’est pas relancé.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

Cette manipulation est qualifiée d’attaque par condition de course. Elle repose sur un enchaînement très rapide d’actions où l’outil doit suspendre le bon programme au moment exact. Les démonstrations montrent que cela peut être reproduit depuis l’espace utilisateur, c’est‑à‑dire sans installer de composant externe ni modifier le cœur du système. Le chercheur à l’origine du PoC a mis à disposition un dépôt public décrivant le fonctionnement et fournissant un exemple d’utilisation Zero Salarium article.

Conséquences pour la sécurité

Lorsqu’un antivirus ou un EDR est figé, il cesse d’analyser les fichiers, d’enregistrer les événements et d’alerter sur des comportements suspects. Cela offre une fenêtre d’opportunité à un attaquant déjà présent sur la machine. Des tests ont montré que le processus de Windows Defender pouvait être arrêté de cette façon pendant la durée choisie, par exemple plusieurs secondes ou minutes.

Cette technique intéresse bien sûr les attaquants parce qu’elle évite d’introduire un pilote vulnérable dans le système, ce qui est souvent détecté par les défenses modernes. Ici, tout repose sur des composants Windows déjà présents, ce qui rend la détection plus difficile. Le caractère discret de l’attaque est renforcé par son exécution en mode utilisateur, limitant les traces visibles dans le système.

Pour les défenseurs, la menace est réelle mais peut être surveillée. Les experts recommandent de contrôler les exécutions de WerFaultSecure.exe et de vérifier s’il cible des processus sensibles comme lsass.exe, un agent EDR ou un antivirus. Une telle activité doit déclencher une alerte prioritaire et conduire à une analyse approfondie. Une présentation plus large du sujet est disponible dans CybersecurityNews, qui détaille aussi les résultats des tests réalisés.

En résumé, EDR‑Freeze met en lumière une faiblesse de conception plutôt qu’une faille logicielle. Le simple fait de détourner la suspension temporaire d’un processus pour la prolonger permet d’aveugler brièvement la sécurité. Les équipes de défense doivent anticiper ce type de scénario dans leurs exercices et vérifier que leurs outils remontent bien des alertes en cas d’usage suspect de WerFaultSecure. Microsoft a affirmé que les utilisateurs de Defender ne sont pas affectés et que les tentatives sont bloquées, mais l’existence de ce PoC rappelle que même des fonctions prévues pour le diagnostic peuvent devenir des armes. La vigilance repose donc sur la capacité à surveiller et corréler des événements système inhabituels.

Un complément d’explication a été publié par BleepingComputer, qui rapporte également la réaction de Microsoft sur ce PoC.

Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.

☕ Je participe
Etiquettes

Fondateur et éditeur de DCOD - Restons en contact !

A lire également

Des idées de lecture recommandées par DCOD

Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

Les fondamentaux de la cybersécurité: Comprendre et appliquer les principes essentiels

À l’ère du numérique, la sécurité informatique est un enjeu crucial pour toute organisation.Sécurité des systèmes et des réseaux, du cloud, des applications, sécurité défensive et offensive, piratage psychologique…

📘 Voir sur Amazon
Page frontale du livre Cybersécurité Nouvelle Génération

Cybersécurité Nouvelle Génération: Défendre Contre les Attaques Intelligentes grâce à l'IA

Dans un paysage numérique dominé par des menaces en constante évolution, les stratégies traditionnelles de cybersécurité ne suffisent plus. Cybersecurity Next-Generation est votre guide incontournable pour comprendre et mettre en œuvre l'intelligence artificielle comme arme stratégique dans la lutte contre les cyberattaques intelligentes et adaptatives.

📘 Voir sur Amazon

Le pirate informatique et l'État : cyberattaques et nouvelle normalité géopolitique (édition anglaise)

Riche en informations exclusives issues d'entretiens avec des acteurs clés de la défense et de la cybersécurité, de documents déclassifiés et d'analyses approfondies de rapports d'entreprises, « The Hacker and the State » explore la véritable compétition géopolitique de l'ère numérique et révèle des détails méconnus sur la manière dont la Chine, la Russie, la Corée du Nord, le Royaume-Uni et les États-Unis se piratent mutuellement dans une lutte acharnée pour la domination.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article peuvent provenir de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur le cadre d’utilisation.