EDR-Freeze เทคนิคโจมตีใหม่ ใช้ Windows WER ปิดซอฟต์แวร์ความปลอดภัย
นักวิจัยที่ใช้นามแฝงว่า TwoSevenOneThree (Zero Salarium) ได้พัฒนา “EDR-Freeze” ซึ่งเป็นเทคนิคในการเจาะเครื่องคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows ใหม่ ซึ่งสามารถหยุดการทำงานของซอฟต์แวร์รักษาความปลอดภัย เช่น EDR และแอนตี้ไวรัส ได้โดยไม่ต้องใช้ไดรเวอร์ที่มีช่องโหว่หรือการเข้าถึงระดับเคอร์เนล
โดยใช้ระบบ Windows Error Reporting (WER) ใน Windows ซึ่ง Windows Error Reporting (WER) เป็นเครื่องมือของ Windows เอง โดยทำหน้าที่ เก็บและส่งข้อมูลข้อผิดพลาดของระบบหรือโปรแกรม ไปยัง Microsoft เพื่อวิเคราะห์และปรับปรุงความเสถียรของ Windows และแอปพลิเคชัน
นอกจากนี้ WER ยังสามารถ เรียกโปรเซสหรือกระบวนการบางอย่างตอนเกิดข้อผิดพลาด ซึ่งทำให้แฮกเกอร์สามารถใช้ช่องทางนี้โจมตีหรือปิดการทำงานของซอฟต์แวร์ความปลอดภัยบางตัวได้
เครื่องมือนี้ใช้ส่วนประกอบ WerFaultSecure ซึ่งทำงานด้วยสิทธิ์ Protected Process Light (PPL) เพื่อเก็บข้อมูลการล้มเหลวของกระบวนการสำคัญ จากนั้นเรียก API ชื่อ MiniDumpWriteDump เพื่อสร้าง minidump ของกระบวนการเป้าหมาย
ระหว่างกระบวนการ EDR-Freeze จะหยุด WerFaultSecure เอง ทำให้กระบวนการรักษาความปลอดภัยที่ถูก dump ไม่สามารถกลับมาทำงานได้ ส่งผลให้ซอฟต์แวร์ความปลอดภัยอยู่ในสภาพ “coma” หรือหยุดทำงานอย่างถาวร เทคนิคนี้ไม่จำเป็นต้องเข้าถึงเคอร์เนลหรือใช้ไดรเวอร์ที่มีช่องโหว่ ทำให้หลีกเลี่ยงการตรวจจับจากระบบรักษาความปลอดภัยที่ตรวจสอบกิจกรรมระดับเคอร์เนล
อย่างไรก็ตาม EDR-Freeze ยังเป็นเพียงแนวคิดและมีข้อจำกัด คือ จำเป็นต้องใช้สิทธิ์ผู้ดูแลระบบ และอาจถูกตรวจจับโดยระบบรักษาความปลอดภัยที่ตรวจสอบการใช้ WER นอกจากนี้ยังอาจไม่สามารถใช้ได้ในระบบที่มีการป้องกันเข้าถึง WER