Un chercheur en sécurité a réussi à plonger Microsoft Defender dans un état de veille prolongée en jouant avec l’outil de rapports de crash intégré à Windows. Une manip bien plus simple à mettre en œuvre que les méthodes utilisées jusqu’ici pour contourner les antivirus.
Les attaques cherchant à désactiver les solutions de sécurité Windows s’appuyaient jusqu’ici sur des pilotes vulnérables pour obtenir un accès au noyau. C’était complexe, risqué et relativement bruyant. Mais le chercheur TwoSevenOneThree vient de démontrer qu’il existait une autre façon de procéder, bien plus discrète. Avec son outil EDR-Freeze, il est en effet parvenu à plonger Microsoft Defender dans un état de veille prolongée en détournant le fonctionnement du service Windows Error Reporting, sans jamais toucher au noyau.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
De l’art de neutraliser un antivirus en détournant le système de diagnostic
Pour comprendre de quoi il retourne, il faut d’abord rappeler que le système Windows Error Reporting (WER) est le service chargé d’envoyer à Microsoft des rapports de crash destinés à faciliter le diagnostic. En clair, lorsqu’une application plante, c’est lui qui collecte les informations techniques pour comprendre ce qui s’est passé.
Dans la majorité des cas, ce travail est assuré par le processus classique WerFault.exe, qui prend en charge les applications ordinaires. Mais certains programmes jugés sensibles, comme les antivirus ou les services d’authentification, sont traités par un exécutable spécial, WerFaultSecure.exe. Plus puissant, il bénéficie d’autorisations renforcées qui lui permettent d’accéder à leur mémoire pour analyser leur état.
Pour créer ces rapports, WerFaultSecure s’appuie sur la fonction MiniDumpWriteDump, une API Windows qui permet de capturer un instantané de la mémoire d’un programme. Pour garantir un état cohérent pendant cette opération, elle met d’abord temporairement en pause toutes les tâches en cours du logiciel ciblé, qui reprend ensuite son activité une fois la copie effectuée.
Or, c’est précisément ce fonctionnement qu’exploite EDR-Freeze, l’outil développé par TwoSevenOneThree. Au lieu d’attendre qu’un programme plante naturellement, il déclenche WerFaultSecure pour générer un rapport sur l’EDR ciblé, puis interrompt l’opération au moment où la cible est mise en pause. Le processus chargé de le réactiver à l’issue de l’opération étant stoppé, l’antivirus reste alors figé dans cet état suspendu.
Contrairement aux méthodes classiques qui reposent sur l’importation de pilotes vulnérables pour obtenir un accès au noyau, ce procédé exploite donc un enchaînement logique prévu par Microsoft et reste confiné à l’espace utilisateur. Une technique plus simple, qui a permis au chercheur de mettre Microsoft Defender hors service sur Windows 11 24H2.
Comment se protéger contre ce type de détournement
Pour l’heure, EDR-Freeze reste une preuve de concept publiée par un chercheur en sécurité et n’a pas été observée dans des attaques réelles, mais la technique n’en demeure pas moins préoccupante pour les éditeurs de solutions antivirus, d'autant que le code de l'outil est accessible publiquement sur GitHub.
La parade la plus directe consiste à limiter l’usage de Windows Error Reporting sur les machines sensibles. Certaines organisations choisissent de désactiver tout ou partie du service via des stratégies de groupe, ou de restreindre l’exécution de WerFaultSecure.exe grâce à des règles de contrôle d’applications comme AppLocker ou WDAC, de façon à ce qu’il ne puisse pas être lancé depuis une session utilisateur classique. Ce type de verrouillage doit cependant être testé avec soin, car certaines applications s’appuient sur WER pour leurs propres rapports de plantage.
Il est également possible de mettre en place une surveillance spécifique autour de WerFaultSecure. Un agent de supervision indépendant peut par exemple détecter lorsqu’il tente de générer un rapport sur des processus critiques comme LSASS ou un module EDR, et alerter si ce scénario inhabituel se produit. Certains systèmes embarquent un mécanisme de contrôle de « vitalité » : l’agent envoie régulièrement des signaux pour confirmer qu’il fonctionne toujours, et une alerte se déclenche s’il cesse soudainement d’émettre ou passe en suspension prolongée.
Ces mesures restent toutefois imparfaites : elles doivent être assurées par un composant séparé, car un antivirus gelé ne peut plus se défendre lui-même. Et tant que Microsoft ne modifie pas le fonctionnement de WerFaultSecure pour empêcher ce type d’usage détourné, aucun patch définitif n’existe.
Source : Zero Salarium
