Cybersecurity-expert demonstreert kwetsbaarheid in Windows: EDR-beveiliging te omzeilen
Een onafhankelijke cybersecurity-onderzoeker, bekend onder de naam 'Zero Salarium', heeft een nieuwe methode onthuld om de beveiligingssoftware van Windows tijdelijk uit te schakelen. Met een tool genaamd 'EDR-Freeze' maakt hij misbruik van een functie binnen Windows om antivirusprogramma's en Endpoints Detection and Response (EDR) software in een 'coma'-status te brengen.
De onderzoeker publiceerde zijn bevindingen op 20 september 2025. Hij toont aan dat de ingebouwde 'Windows Error Reporting'-service (WerFaultSecure.exe) kan worden misbruikt. Normaal gesproken maakt deze service minidumps (snapshots) van processen om fouten te analyseren. Tijdens het maken van zo'n snapshot worden alle gerelateerde processen tijdelijk stilgezet.
Zero Salarium ontwikkelde een aanval op basis van deze functionaliteit, in combinatie met het gebruik van 'Protected Process Light' (PPL), een beveiligingslaag die gevoelige processen beschermt. Door een race-condition aanval uit te voeren, kan hij het WerFaultSecure-proces op een kritiek moment opschorten, waardoor het EDR- of antivirusproces in een oneindige 'suspended' staat blijft.
Dit betekent dat kwaadwillenden deze tool kunnen gebruiken om beveiligingslagen te omzeilen voordat ze een aanval uitvoeren. De tool van de onderzoeker, EDR-Freeze, is gepubliceerd op Github en demonstreert hoe het proces van Windows Defender kan worden gepauzeerd, een van de ingebouwde beveiligingsprogramma's van Windows.
Als tegenmaatregel adviseert de onderzoeker om de parameters van het WerFaultSecure-proces te monitoren. Ongebruikelijke aanroepen die gericht zijn op gevoelige processen zoals EDR's of antivirusprogramma's kunnen een indicatie zijn van een aanval. De ontdekking benadrukt de voortdurende strijd tussen aanvallers en ontwikkelaars van beveiligingssoftware.
Meer over cybersecurity
Over Witold Kepinski
