EDR-Freeze: Neues Cyberwaffen-Tool hebelt Windows-Sicherheit aus
Das Angriffswerkzeug EDR-Freeze nutzt legitime Microsoft-Komponenten, um Sicherheitssoftware in einen Dauerschlaf zu versetzen und umgeht dabei alle bekannten Schutzmechanismen.
Ein neuartiges Angriffswerkzeug kann sämtliche gängigen Antivirus-Programme und Sicherheitslösungen auf Windows-Systemen lahmlegen – und nutzt dafür ausschließlich Microsoft-eigene Komponenten. Das öffentlich verfügbare Tool „EDR-Freeze“ stellt damit eine völlig neue Bedrohungskategorie dar.
Der von Sicherheitsforscher TwoSevenOneT entwickelte Angriffscode versetzt Schutzprogramme in einen dauerhaften Ruhezustand, ohne dabei verdächtige Aktivitäten auszulösen. Was die Cybersicherheitsbranche besonders alarmiert: Die Methode funktioniert selbst gegen Microsofts Windows Defender und umgeht dabei alle bekannten Schutzmaßnahmen.
Perfekte Tarnung durch Windows-Komponenten
Bislang setzten Angreifer auf die „Bring Your Own Vulnerable Driver“-Methode, um Sicherheitssoftware zu deaktivieren. Dabei schleusten sie fehlerhafte Treiber ins System ein – ein Vorgehen, das jedoch oft Alarm auslöste.
EDR-Freeze revolutioniert diesen Ansatz vollständig. Das Tool arbeitet ausschließlich mit legitimen Windows-Funktionen und bleibt dadurch praktisch unsichtbar. Statt verdächtige Treiber zu installieren, missbraucht es das Windows-eigene Fehlerberichtssystem.
Die Funktionsweise ist tückisch einfach: Das Tool startet einen Speicher-Dump eines Sicherheitsprogramms über die MiniDumpWriteDump-Funktion. Während dieses Prozesses werden alle Programmabläufe des Zielprogramms eingefroren – und bleiben es auch, wenn der Dump-Vorgang selbst gestoppt wird.
Auch „geschützte Prozesse“ sind verwundbar
Moderne Sicherheitslösungen laufen als „Protected Process Light“ (PPL) – ein Windows-Schutzmechanismus, der selbst Administratoren den Zugriff verwehrt. Doch auch diese Verteidigung durchbricht EDR-Freeze mühelos.
Das Tool nutzt die Komponente WerFaultSecure.exe, die standardmäßig über die nötigen Privilegien verfügt, um mit geschützten Prozessen zu interagieren. Auf einem aktuellen Windows 11-System gelang es dem Forscher problemlos, den Windows Defender-Kernprozess MsMpEng.exe auszuschalten.
Der Quellcode steht bereits auf GitHub zur Verfügung – nominell für Sicherheitsforschung und Penetrationstests. Praktisch bedeutet dies jedoch: Cyberkriminelle können das Tool binnen Minuten in ihre Angriffe integrieren.
Industrie steht vor unlösbarem Dilemma
Die neue Bedrohung versetzt die Sicherheitsbranche in eine paradoxe Situation. Da EDR-Freeze ausschließlich vertrauenswürdige, von Microsoft signierte Komponenten verwendet, versagen alle gängigen Erkennungsmethoden.
Herkömmliche Whitelisting-Verfahren und signaturbasierte Schutzmaßnahmen greifen nicht – schließlich handelt es sich um legitime Systemvorgänge. Security-Teams müssen nun mühsam unterscheiden lernen zwischen normalen Fehlerberichten und gezielten Angriffen auf ihre Schutzinfrastruktur.
Besonders brisant: Anders als bei klassischen Sicherheitslücken gibt es hier keinen simplen Software-Patch als Lösung. Das Tool nutzt Windows-Funktionen genau so, wie sie konzipiert wurden.
Anzeige: Wenn Sie sich angesichts solcher Windows-Turbulenzen eine stabile, sichere Alternative wünschen, testen Sie Linux parallel zu Windows – ohne Risiko und ohne Datenverlust. Das kostenlose Linux-Startpaket liefert eine Ubuntu‑Vollversion plus Schritt‑für‑Schritt‑Anleitung, damit Ihr PC spürbar schneller, stabiler und virenärmer läuft. Ideal für Windows‑Nutzer, die unverbindlich ausprobieren möchten, ob Linux im Alltag passt. Jetzt Linux‑Startpaket gratis anfordern
Wettrüsten der Erkennungstechnologien beginnt
Sicherheitsexperte Steven Lim hat bereits ein Gegentool entwickelt, das verdächtige WerFaultSecure-Aktivitäten aufspürt. Die Faustformel: Jeder Versuch, über das Fehlerberichtssystem auf Antivirus-Programme oder den Anmeldedienst LSASS zuzugreifen, sollte höchste Alarmstufe auslösen.
Langfristig dürfte Microsoft unter Druck geraten, das Windows-Fehlerberichtssystem grundlegend zu überarbeiten. Diskutiert werden Beschränkungen bei der Prozess-Auswahl oder zusätzliche Sicherheitschecks gegen ungewollte Dauersperrungen.
Für Unternehmen bedeutet EDR-Freeze eine neue Realität: Selbst modernste Sicherheitslösungen bieten keinen hundertprozentigen Schutz mehr gegen Angreifer, die das Betriebssystem gegen sich selbst wenden.
