Navigation
Les derniers articles
Suivez en direct

EDR‑Freeze : comment un composant de Windows gèle les antivirus

Illustration d’un système de cybersécurité EDR représenté par un cadenas numérique au centre d’un circuit imprimé, entouré de blocs de glace symbolisant un gel ou un blocage informatique.
EDR‑Freeze illustre une tactique utilisant des composants Windows par défaut pour mener des actions malveillantes

En bref

  • EDR‑Freeze détourne la fonction de création de minidump, qui suspend brièvement un processus, pour prolonger cette mise en pause.
  • La méthode repose sur WerFaultSecure.exe, un composant Windows capable d’interagir avec des processus protégés.
  • Une condition de course permet de bloquer la reprise normale du processus, laissant l’antivirus figé.
  • La détection passe par la surveillance d’appels inhabituels de WerFaultSecure visant des processus sensibles comme les EDR.

Un nouvel outil appelé EDR‑Freeze démontre comment détourner des fonctions légitimes de Windows pour neutraliser temporairement un antivirus ou un agent de détection d’attaques. Plutôt que d’utiliser un pilote vulnérable difficile à installer et risqué, la méthode exploite le mécanisme de création de minidump. Normalement, ce mécanisme suspend brièvement un programme afin d’en copier la mémoire. En prolongeant artificiellement cette suspension, il devient possible de laisser l’agent de sécurité dans un état d’arrêt temporaire.

Comment la technique fonctionne

La fonction MiniDumpWriteDump de Windows crée une image mémoire d’un processus pour faciliter le débogage. Pendant cette opération, tous les fils d’exécution du processus ciblé sont mis en pause afin d’éviter des incohérences. En temps normal, la pause est très courte. L’outil EDR‑Freeze parvient à prolonger cette suspension en bloquant le programme qui a lancé le dump.

Le programme clé s’appelle WerFaultSecure.exe. Il appartient au système de rapport d’erreurs de Windows et peut fonctionner avec des privilèges élevés lui permettant d’interagir avec des processus protégés. En lançant WerFaultSecure avec certains paramètres, on lui demande de créer un minidump d’un agent de sécurité comme un antivirus. Au moment où ce processus est suspendu, EDR‑Freeze interrompt WerFaultSecure lui‑même. Le résultat est simple : l’antivirus ne reprend jamais son activité et reste figé tant que WerFaultSecure n’est pas relancé.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

Cette manipulation est qualifiée d’attaque par condition de course. Elle repose sur un enchaînement très rapide d’actions où l’outil doit suspendre le bon programme au moment exact. Les démonstrations montrent que cela peut être reproduit depuis l’espace utilisateur, c’est‑à‑dire sans installer de composant externe ni modifier le cœur du système. Le chercheur à l’origine du PoC a mis à disposition un dépôt public décrivant le fonctionnement et fournissant un exemple d’utilisation Zero Salarium article.

Conséquences pour la sécurité

Lorsqu’un antivirus ou un EDR est figé, il cesse d’analyser les fichiers, d’enregistrer les événements et d’alerter sur des comportements suspects. Cela offre une fenêtre d’opportunité à un attaquant déjà présent sur la machine. Des tests ont montré que le processus de Windows Defender pouvait être arrêté de cette façon pendant la durée choisie, par exemple plusieurs secondes ou minutes.

Cette technique intéresse bien sûr les attaquants parce qu’elle évite d’introduire un pilote vulnérable dans le système, ce qui est souvent détecté par les défenses modernes. Ici, tout repose sur des composants Windows déjà présents, ce qui rend la détection plus difficile. Le caractère discret de l’attaque est renforcé par son exécution en mode utilisateur, limitant les traces visibles dans le système.

Pour les défenseurs, la menace est réelle mais peut être surveillée. Les experts recommandent de contrôler les exécutions de WerFaultSecure.exe et de vérifier s’il cible des processus sensibles comme lsass.exe, un agent EDR ou un antivirus. Une telle activité doit déclencher une alerte prioritaire et conduire à une analyse approfondie. Une présentation plus large du sujet est disponible dans CybersecurityNews, qui détaille aussi les résultats des tests réalisés.

En résumé, EDR‑Freeze met en lumière une faiblesse de conception plutôt qu’une faille logicielle. Le simple fait de détourner la suspension temporaire d’un processus pour la prolonger permet d’aveugler brièvement la sécurité. Les équipes de défense doivent anticiper ce type de scénario dans leurs exercices et vérifier que leurs outils remontent bien des alertes en cas d’usage suspect de WerFaultSecure. Microsoft a affirmé que les utilisateurs de Defender ne sont pas affectés et que les tentatives sont bloquées, mais l’existence de ce PoC rappelle que même des fonctions prévues pour le diagnostic peuvent devenir des armes. La vigilance repose donc sur la capacité à surveiller et corréler des événements système inhabituels.

Un complément d’explication a été publié par BleepingComputer, qui rapporte également la réaction de Microsoft sur ce PoC.

Cette veille vous a fait gagner du temps ?
Aidez DCOD à payer ses serveurs et à rester 100% gratuit et indépendant.

☕ Offrir un café
Etiquettes

Fondateur et éditeur de DCOD - Restons en contact !

A lire également

Des idées de lecture recommandées par DCOD

Page frontale du livre Cybersécurité: Le guide du débutant

Cybersécurité: Le guide du débutant

Si vous voulez un guide étape par étape sur la cybersécurité, plus un cours gratuit complet sur la sécurité en ligne, plus un accès à une formidable communauté de hackers, ce livre est pour vous !

📘 Voir sur Amazon
Ethical Hacking

Sécurité informatique - Ethical Hacking

Ce livre a pour objectif d'initier le lecteur aux techniques des attaquants pour lui apprendre comment se défendre. Cette nouvelle édition tient compte de l'actualité en matière de sécurité informatique et voit l'apparition de trois nouveaux chapitres qui traitent de la sécurité des mobiles, des voitures connectées et de l'étude des malwares.

📘 Voir sur Amazon

Hacking pour débutant: Le guide complet pour débuter en cybersécurité

La plupart des gens pensent que le hacking est quelque chose de magique, ou que les hackers sont nés avec ce talent de pouvoir pénétrer dans les ordinateurs et les réseaux. Ce n'est pas vrai.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article peuvent provenir de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur le cadre d’utilisation.