📑
Depuis la publication le 20 septembre 2025 d’une preuve de concept dénommée EDR-Freeze par le chercheur TwoSevenOneThree, et qui cible les outils de sécurité installés sur les postes Windows, de nombreuses questions se posent. La plus importante d’entre elles est : quel est son véritable impact ?
Les attaques contre les EDR
Aujourd’hui, les attaquants savent que les outils de détection sont de plus en plus présents sur les équipements informatiques. Par conséquent, pour agir discrètement, éviter d’éveiller des soupçons et ne pas être bloqués, les attaquants doivent innover pour contourner ces produits de sécurisation de l’espace de travail. Il n’est donc pas rare de voir émerger diverses preuves de concept allant dans ce sens, comme certains outils tels que EDRSandblast ou EDRSilencer.
Concrètement, un attaquant peut intervenir dans deux espaces différents pour arriver à ses fins :
- L'espace utilisateur
- L’espace noyau.
L’espace utilisateur est l’espace dans lequel la majorité des actions des utilisateurs se déroulent, et c’est aussi l’espace le plus accessible pour les attaquants. Comme il est plus accessible que l’espace noyau, c’est souvent celui que les attaquants ciblent en priorité pour neutraliser un EDR ou contourner ses protections. Parmi les techniques utilisées, on trouve le contournement du hooking userland (intercepter ou rediriger les appels système ou d’API que l’EDR surveille), tenter de détourner ou désactiver des mécanismes de sécurité comme l’AMSI ou l’ETW, ou simplement tuer le processus de l’agent EDR - une action directe, efficace et fréquemment utilisée.
L’espace noyau est beaucoup plus protégé que l’espace utilisateur. Il est ainsi plus difficile à atteindre, car il nécessite des droits élevés pour y accéder, et les systèmes d’exploitation (OS), notamment Windows, ne permettent pas d’y charger n’importe quels éléments. Cependant, une fois qu’un attaquant parvient à y entrer, le champ d’action est vaste : il peut tenter de désactiver complètement l’EDR, intercepter ou bloquer la remontée d’événements système critiques (création de processus, modifications du système de fichiers, du registre, etc.), tout en maintenant l’apparence d’un fonctionnement normal du système. C’est par exemple le cas des attaques du type Bring Your Own Vulnerable Driver (BYOVD), historiquement adoptées par des groupes APT comme Lazarus mais désormais utilisées dans du cybercrime plus classique comme lors d’attaques par ransomware.
Comme mentionné plus tôt, EDR-Freeze est un nouveau type d’attaque visant les EDR publié courant 2025. De quoi s’agit-il exactement ?
Qu’est-ce qu’EDR-Freeze
Une méthode d’attaque permettant de neutraliser un équipement de sécurité, baptisée EDR-Freeze, a vu le jour fin 2025. Cette dernière exploite le fonctionnement d’un binaire Windows légitime appelé WerFaultSecure pour neutraliser les processus liés aux outils de sécurité tel que les antivirus ou les EDR, sans utilisation de drivers vulnérables et donc simplement dans l’espace utilisateur.
Le fonctionnement d’EDR-Freeze se fait en deux temps :
- La première étape consiste à utiliser un composant légitime du système d’exploitation Windows, Windows Error Reporting (WER), qui permet de collecter, d’analyser et d’envoyer des rapports d’erreurs à Microsoft ou de fournir aux administrateurs systèmes des informations utiles pour diagnostiquer le plantage d’applications. L’outil va ainsi s’appuyer sur le binaire WerFaultSecure.exe, afin d’interagir avec des processus protégés comme le sont les EDR et les antivirus, pour réaliser un dump de la mémoire du processus cible. Cette action va entraîner la suspension de tous les threads du processus pour garantir une cohérence des données lors de la capture. Autrement dit, EDR-Freeze va faire appel à un binaire légitime du système et tirer parti de ces fonctionnalités pour mettre temporairement en pause un processus protégé.
- Puis l’outil va suspendre le processus WerFaultSecure.exe au moment opportun, c’est‑à‑dire une fois que le processus cible aura été suspendu pour les besoins de la copie, bloquant ainsi le fonctionnement de l’EDR tant que cet état suspendu sera maintenu par EDR‑Freeze.
En s’appuyant uniquement sur un binaire légitime du système d’exploitation Windows, cette preuve de concept permet ainsi de passer n’importe quel processus dans un état suspendu, l’empêchant de poursuivre son exécution. Dans le cas où le processus en question est un EDR, un attaquant serait en mesure d’effectuer des actions malveillantes sans éveiller de soupçon pendant toute la durée d’interruption.
Comment HarfangLab se protège contre EDR-Freeze
Comme nous l’avons vu, le fonctionnement de l’outil EDR-Freeze intervient en espace utilisateur et par conséquent la plupart des produits de sécurité intègrent déjà des mécanismes d’auto-protection visant à limiter les actions pouvant être menées contre eux.
Ainsi, l'auto-protection de l’EDR d’HarfangLab est assurée via son propre driver. Il intercepte tous types d'accès à son processus et aux fichiers associés à l’EDR, et il vérifie si ce processus est légitime ou non. Pour une protection optimale, le cas où l’utilisateur est administrateur de sa propre machine est prévu : même administrateur de son poste, un utilisateur ne peut pas supprimer l'EDR.Dans ce cas, le binaire WerFaultSecure.exe ne sera pas autorisé à accéder au processus de l’EDR HarfangLab avec certains droits, empêchant ainsi toute interruption.
Un EDR automatiquement protégé contre les tentatives d’attaque et de contournement
Bien que l’idée derrière la preuve de concept d’EDR-Freeze soit intéressante, l’EDR HarfangLab se protège automatiquement contres des attaques de ce type qui reposent sur un fonctionnement exclusivement en espace utilisateur et uniquement sur un binaire légitime du système d’exploitation Windows.
De plus, l’utilisation d’un tel outil laisse des traces, et son comportement étant assez caractéristique, il peut facilement être détecté par des règles à base de signatures (telles que YARA) ou des règles comportementales (telles que Sigma).
Enfin, il faut garder à l’esprit que l’utilisation d’un tel outil suppose que l’attaquant a déjà pris place sur le système. Dans la mesure où il a potentiellement déjà généré un certain nombre d'alertes, sa présence aura probablement déjà été signalée par l’EDR.
Pour en savoir plus sur notre plateforme et ses fonctionnalités :