EDR-Freeze umgeht Windows-Sicherheitssoftware mit System-Trick
Ein neuartiges Tool nutzt legitime Windows-Funktionen, um Endpoint Detection and Response-Systeme sowie Antivirenprogramme komplett zu deaktivieren, ohne Spuren zu hinterlassen.
Ein neues Angriffswerkzeug namens EDR-Freeze kann Windows-Sicherheitslösungen komplett lahmlegen. Das Tool nutzt dabei eine raffinierte Schwachstelle in legitimen Windows-Funktionen – und stellt damit Cybersecurity-Experten vor völlig neue Herausforderungen.
EDR-Freeze versetzt kritische Sicherheitssoftware wie Endpoint Detection and Response-Systeme und Antivirenprogramme in einen dauerhaften Ruhezustand. Die betroffenen Programme können dann keine schädlichen Aktivitäten mehr erkennen oder darauf reagieren. Das Perfide: Der Angriff hinterlässt kaum Spuren.
Eleganter Angriff ohne verdächtige Treiber
Das Tool markiert einen Wendepunkt in der Entwicklung von Bypass-Techniken. Während andere Methoden wie „Bring Your Own Vulnerable Driver“-Attacken verdächtige Fremdsoftware installieren müssen, setzt EDR-Freeze ausschließlich auf Windows-Bordmittel.
Diese Strategie macht den Angriff praktisch unsichtbar. Kein Treiber muss eingeschleust werden, der das System destabilisieren oder Alarm auslösen könnte. Der komplette Vorgang läuft im User-Modus ab – ein eleganter Weg, Sicherheitsüberwachung zu neutralisieren.
Erste Tests zeigten die Schlagkraft des Tools: Auf einem Windows 11 24H2-System konnte erfolgreich der MsMpEng.exe-Prozess des Windows Defenders ausgeschaltet werden. Angreifer können so ihre Aktivitäten ungestört durchführen und die Sicherheitssoftware anschließend wieder „aufwecken“ – als wäre nichts geschehen.
Anzeige: Apropos Windows‑Notfälle: Wenn Defender oder EDR ausfallen und ein System verdächtig wirkt, ist ein sauberer Neustart vom USB‑Stick oft der schnellste Weg, um zu prüfen, zu reparieren oder notfalls neu zu installieren. Ein kostenloser Ratgeber zeigt Schritt für Schritt, wie Sie einen Windows‑11‑Boot‑Stick erstellen und richtig einsetzen – ideal als Notfall‑Tool für Admins und Privatanwender. Jetzt Gratis-Anleitung sichern
Das technische Herzstück: Missbrauchte Debug-Funktion
Der Clou liegt in der geschickten Manipulation der MiniDumpWriteDump-Funktion aus der Windows DbgHelp-Bibliothek. Diese Funktion erstellt normalerweise einen Memory-Snapshot für Debugging-Zwecke und stoppt dafür kurzzeitig alle Threads des Zielprozesses.
EDR-Freeze verlängert diesen eigentlich momentanen Stopp ins Unendliche. Um den Protected Process Light-Schutz zu umgehen, der EDR-Prozesse vor Manipulationen schützt, nutzt das Tool WerFaultSecure.exe – einen Bestandteil des Windows Error Reporting-Dienstes.
Race-Condition als Schlüssel zum Erfolg
Der finale Schritt ist eine ausgeklügelte Race-Condition-Attacke: EDR-Freeze überwacht kontinuierlich den Zielprozess. Sobald die Sicherheitssoftware für den Memory-Dump pausiert wird, friert das Tool blitzschnell den WerFaultSecure.exe-Prozess ein. Die Sicherheitslösung bleibt dauerhaft im Suspended-Modus gefangen.
Für Sicherheitsteams wird Wachsamkeit zur Pflicht. Verdächtige Ausführungen von WerFaultSecure.exe sollten höchste Priorität bei der Überwachung haben – besonders wenn das Programm Prozess-IDs von EDR-Agenten oder kritischen Systemdiensten wie lsass.exe anvisiert.
Microsoft unter Zugzwang
Die Entwicklung zeigt das klassische Katz-und-Maus-Spiel zwischen Angreifern und Verteidigern in neuer Schärfe. EDR-Freeze gehört zu den „Living-off-the-Land“-Techniken, die vorhandene Systemfunktionen als Waffen einsetzen.
Microsoft arbeitet bereits an grundlegenden Änderungen der Windows-Architektur. Antivirus- und EDR-Anwendungen sollen aus dem Kernel-Bereich herausgenommen werden – ursprünglich zur Verbesserung der Systemstabilität. Diese Umstellung könnte auch Techniken wie EDR-Freeze unwirksam machen.
Eines ist sicher: Die Cybersecurity-Branche muss ihre Strategien überdenken. Verhaltensanalyse und Anomalieerkennung werden wichtiger denn je, wenn selbst vertrauenswürdige Systemfunktionen zu Angriffswaffen werden.
