Forensic Insights into an EDR Freeze Attack: https://detect.fyi/forensic-insights-into-an-edr-freeze-attack-e559b0e50a91

#forensics #edrfreeze

Für Windows ist heute auch noch was dabei. Soll sich schließlich niemand zu sicher fühlen:

Das kürzlich vorgestellte Proof‑of‑Concept‑Tool EDR‑Freeze demonstriert, dass Angreifer Microsofts Windows Error Reporting‑System (WER) nutzen können, um Endpoint‑Detection‑and‑Response‑Lösungen (EDR) und Antivirenprogramme ohne Kernel‑Treiber dauerhaft zu deaktivieren. Der Ansatz, entwickelt vom Sicherheitsexperten TwoSevenOneThree (alias Zero Salarium), kombiniert das WER‑Framework mit der MiniDumpWriteDump‑API und versetzt die betroffenen Sicherheitsagenten in einen permanenten Ruhezustand.
EDR‑Freeze operiert ausschließlich aus dem Benutzermodus, verzichtet komplett auf eigene Treiber und greift auf bereits im Betriebssystem vorhandene, legitime Windows‑Komponenten zurück. Damit stellt die neue Methode eine wesentlich unauffälligere und technisch einfachere Möglichkeit dar, Sicherheitssoftware zu neutralisieren...
Da muss Redmond aber noch mal ran.

https://www.zerosalarium.com/2025/09/EDR-Freeze-Puts-EDRs-Antivirus-Into-Coma.html

#infosec #EDRfreeze #windows

Attackers are now exploiting a trusted Windows process to put security software on pause. Imagine your defenses suddenly going offline mid-attack—what's next in the cyber arms race?

https://thedefendopsdiaries.com/edr-freeze-tool-how-attackers-exploit-windows-error-reporting-to-suspend-security-software/

#edrfreeze
#windowserrorreporting
#endpointsecurity
#cyberattack
#securityevasion