EDR-Freeze : Une Nouvelle Méthode pour Suspendre les Logiciels de Sécurité avec Windows WER

La sécurité informatique est en constante évolution, et les attaquants recherchent continuellement de nouvelles méthodes pour contourner les protections en place. Un nouvel outil appelé EDR-Freeze attire l’attention dans ce contexte. Développé par Bill Toulas, cet outil, présenté sur Bleeping Computer, est un outil de preuve de concept qui démontre comment il est possible d'éviter les solutions de sécurité modernes en utilisant Windows Error Reporting (WER).

EDR-Freeze exploite une vulnérabilité dans le système d’exploitation Windows pour suspendre les logiciels de sécurité sans nécessiter d'accès root. Il s'agit donc d'une technique qui pourrait être exploitée par des attaquants pour maintenir leur présence sur un système ou pour effectuer des activités malveillantes sans être détectés. L'outil est conçu comme une preuve de concept et n'est pas destiné à être déployé en production, mais il souligne une possibilité intéressante pour les experts en sécurité.

Cette technique repose sur la capacité de WER à suspendre les processus, et en l'utilisant de manière ciblée, il est possible de désactiver les agents de sécurité sans déclencher d'alerte. Cela met en évidence la nécessité pour les éditeurs de logiciels de sécurité de rester vigilants et de corriger rapidement les vulnérabilités dans leurs produits. De plus, cela soulève des questions importantes sur la robustesse des méthodes d'évitement utilisées par les attaquants et sur la capacité des éditeurs à les contrer.

Il est essentiel de rappeler que cette technologie est un outil de recherche et qu’elle n’est pas un produit commercial prêt à l’emploi. Cependant, elle met en lumière une direction potentielle pour les futurs développements en matière d'attaques et de contre-mesures.