IT之家 9 月 23 日消息，科技媒體 bleepingcomputer 昨日（9 月 22 日）發(fā)布博文，報(bào)道稱(chēng)安全研究員 TwoSevenOneThree（Zero Salarium）發(fā)布新工具 EDR-Freeze，利用 Windows 錯(cuò)誤報(bào)告（WER）系統(tǒng)，在用戶(hù)模式下無(wú)限期暫停終端檢測(cè)響應(yīng)（EDR）及殺毒軟件進(jìn)程。

IT之家注：傳統(tǒng)禁用 EDR 常依賴(lài)“自帶漏洞驅(qū)動(dòng)”（BYOVD），即攻擊者需要引入合法但存在漏洞的內(nèi)核驅(qū)動(dòng)來(lái)提升權(quán)限。這類(lèi)攻擊需將驅(qū)動(dòng)運(yùn)送至目標(biāo)系統(tǒng)、繞過(guò)執(zhí)行保護(hù)，并清除內(nèi)核層痕跡。

相比之下，EDR-Freeze 更隱蔽，無(wú)需加載存在漏洞的驅(qū)動(dòng)，直接讓終端檢測(cè)與響應(yīng)（EDR）及殺毒軟件進(jìn)入“休眠”狀態(tài)，完全運(yùn)行于用戶(hù)模式，并調(diào)用系統(tǒng)自帶的合法組件。

EDR-Freeze 利用 WerFaultSecure 組件（具有受保護(hù)進(jìn)程輕量級(jí)權(quán)限）觸發(fā) MiniDumpWriteDump API，生成進(jìn)程內(nèi)存快照時(shí)會(huì)暫停所有線程。

攻擊者在暫停階段凍結(jié) WerFaultSecure，讓其無(wú)法恢復(fù)目標(biāo)進(jìn)程，從而讓安全軟件長(zhǎng)時(shí)間停擺。該過(guò)程屬于可復(fù)現(xiàn)的競(jìng)態(tài)條件攻擊，步驟包括調(diào)用 WerFaultSecure、傳入目標(biāo)進(jìn)程 ID、輪詢(xún)等待進(jìn)程暫停、立即凍結(jié) WerFaultSecure。

研究者已在 Windows 11 24H2 上測(cè)試該工具，成功讓 Windows Defender 進(jìn)入“休眠”狀態(tài)。這一鏈?zhǔn)嚼媒Y(jié)合了 MiniDumpWriteDump 和 WerFaultSecure 的正常功能，更像是設(shè)計(jì)缺陷而非傳統(tǒng)漏洞。一旦被攻擊者掌握，可能導(dǎo)致防御體系在長(zhǎng)時(shí)間內(nèi)失效。

防御措施包括監(jiān)控 WER 是否指向 LSASS 或安全工具等敏感進(jìn)程標(biāo)識(shí)符。研究員 Steven Lim 已開(kāi)發(fā)工具映射 WerFaultSecure 至 Microsoft Defender Endpoint 進(jìn)程。微軟未來(lái)可通過(guò)限制調(diào)用參數(shù)、僅允許特定 PID、阻止可疑觸發(fā)等方式提升安全性。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。