CibersegurançaNotícias

EDR-Freeze: ataque congela antivírus usando recurso nativo do Windows

Imagem do autor do SempreUpdate Jardeson Márcio
Escrito por
Jardeson Márcio
Imagem do autor do SempreUpdate Jardeson Márcio
PorJardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...
Follow:
Imagem de logomarca do Windows com fundo vermelho

Quando o Windows se torna a arma perfeita contra sua própria segurança.

A disputa entre cibercriminosos e soluções de segurança como EDR (Endpoint Detection and Response) e antivírus é um verdadeiro jogo de gato e rato. A cada avanço na proteção, surgem novas técnicas que buscam explorar brechas e neutralizar mecanismos de defesa.

Conteúdo

Recentemente, pesquisadores revelaram uma ferramenta chamada EDR-Freeze, que representa um avanço nesse cenário. Diferente de abordagens tradicionais, esse método consegue suspender softwares de segurança no Windows utilizando apenas recursos nativos do próprio sistema operacional.

O que torna o EDR-Freeze particularmente preocupante é o fato de que ele não depende de falhas clássicas, como drivers vulneráveis, mas sim do abuso de componentes legítimos, como o Windows Error Reporting (WER). Isso faz com que a detecção seja muito mais difícil, abrindo um novo capítulo na evolução dos ataques contra endpoints.

Microsoft Windows

O que é o EDR-Freeze e por que ele é um divisor de águas?

O EDR-Freeze é uma técnica de ataque que permite colocar soluções de segurança, como EDRs e antivírus, em estado de suspensão indefinida, neutralizando suas funções sem precisar desinstalá-los ou explorá-los diretamente.

Até agora, uma das estratégias mais conhecidas para esse tipo de ação era o BYOVD (Bring Your Own Vulnerable Driver). Nesse método, os atacantes carregavam um driver vulnerável no kernel do Windows para ganhar privilégios elevados e desativar mecanismos de defesa.

Apesar de eficaz, o BYOVD apresenta desvantagens significativas:

  • Complexidade: exige manipulação do kernel e conhecimento avançado.
  • Risco de detecção: o uso de drivers suspeitos pode ser identificado por soluções de segurança.
  • Dependência externa: é preciso encontrar ou trazer um driver vulnerável compatível.

O EDR-Freeze, por outro lado, não precisa de drivers adicionais. Ele opera inteiramente em modo de usuário (user-mode), explorando apenas processos legítimos do Windows. Isso o torna muito mais furtivo e eficiente, já que não deixa rastros óbvios de manipulação.

Como o EDR-Freeze vira o jogo: usando o Windows contra si mesmo

A força do EDR-Freeze está no uso criativo de componentes legítimos do Windows. Em vez de explorar um bug clássico, ele abusa da lógica do sistema para transformar uma ferramenta de diagnóstico em uma arma contra soluções de segurança.

O primeiro ingrediente: Windows Error Reporting (WER)

O Windows Error Reporting (WER) é um sistema nativo do Windows responsável por coletar e enviar relatórios de falhas para a Microsoft.

Um de seus executáveis centrais é o WerFaultSecure.exe, classificado como um Protected Process Light (PPL). Esse status especial concede privilégios elevados, permitindo que ele interaja com processos protegidos, como os de antivírus e EDR.

Em condições normais, o WerFaultSecure é usado para investigar falhas críticas. No entanto, sob controle de um atacante, ele pode ser redirecionado contra os próprios mecanismos de defesa do Windows.

A “arma” do crime: a API MiniDumpWriteDump

Outro elemento essencial para o ataque é a API MiniDumpWriteDump, uma função legítima da Microsoft usada para gerar minidumps — cópias da memória de um processo no momento de uma falha.

Esse recurso é amplamente utilizado por desenvolvedores e administradores para depuração. Porém, há um detalhe crucial: para gerar o minidump, a API suspende temporariamente todas as threads do processo alvo.

Na prática, isso significa que, quando chamada contra um EDR ou antivírus, a função pausa completamente o software de segurança.

O golpe final: congelando o “congelador”

O funcionamento do ataque pode ser descrito em etapas simples:

  1. O atacante utiliza o WerFaultSecure.exe para mirar no processo do software de segurança.
  2. O WerFaultSecure invoca a MiniDumpWriteDump, que suspende temporariamente o EDR.
  3. Nesse intervalo crítico, o atacante suspende o próprio processo do WerFaultSecure.
  4. O resultado: o antivírus ou EDR permanece suspenso indefinidamente, sem chance de retomada.

Esse ataque de condição de corrida cria um estado em que a ferramenta de defesa fica “congelada”, incapaz de reagir ou proteger o sistema.

Implicações, riscos e como se defender

O EDR-Freeze se enquadra na categoria de ataques conhecidos como Living off the Land (LotL). Nesse tipo de abordagem, os invasores abusam de ferramentas legítimas do sistema para realizar atividades maliciosas, tornando a detecção extremamente difícil.

É importante notar que não se trata de um bug ou falha de programação, mas sim de uma fraqueza de design: o Windows permite que seus próprios componentes críticos sejam usados de maneira inesperada.

Entre os principais riscos, destacam-se:

  • Evasão quase invisível: difícil de distinguir de operações legítimas do sistema.
  • Neutralização total: o software de segurança fica inativo, mas ainda aparenta estar em execução.
  • Impacto em larga escala: ataques coordenados podem paralisar defesas corporativas inteiras.

Como possíveis defesas, especialistas sugerem:

  • Monitorar o uso do WerFaultSecure quando direcionado a processos de segurança.
  • Registrar anomalias na execução da MiniDumpWriteDump em contextos incomuns.
  • Utilizar ferramentas experimentais desenvolvidas por pesquisadores, como a proposta por Steven Lim, que visa detectar esse tipo de abuso.

Além disso, é provável que a Microsoft precise repensar como o WER interage com processos protegidos, para reduzir a superfície de ataque sem prejudicar funções legítimas de diagnóstico.

Conclusão: a segurança de endpoint precisa evoluir

O surgimento do EDR-Freeze mostra que os atacantes estão constantemente inovando, mesmo quando não exploram vulnerabilidades tradicionais. Ao utilizar o Windows Error Reporting contra os próprios defensores, essa técnica destaca a importância de monitoramento comportamental profundo e não apenas da confiança em ferramentas pré-existentes.

Para administradores, profissionais de segurança e entusiastas, a lição é clara: não basta ter EDR ou antivírus instalados. É preciso acompanhar o comportamento dos processos do sistema, entender como técnicas de Living off the Land operam e adotar estratégias de defesa em camadas.

No fim, o EDR-Freeze serve como um lembrete contundente: a segurança de endpoints é um campo em constante evolução, e só aqueles que acompanham essa dinâmica conseguem estar um passo à frente.

TAGGED:
Compartilhe este artigo
Artigo anterior malware IA MalTerminal: o 1º malware com LLM que cria código em tempo real
Próximo artigo Windows 11 Windows 11 24H2: Atualização liberada após correção de bug

Leia também

Posts sobre o mesmo assunto