Siber güvenlik araştırmacısı TwoSevenOneThree tarafından geliştirilen EDR-Freeze adlı araç, Windows işletim sisteminde güvenlik yazılımlarını askıya alabilen yeni bir yöntemi ortaya koydu. Araç, Microsoft’un Windows Hata Bildirme (WER) bileşenini kullanarak antivirüs ve uç nokta güvenlik çözümlerini devre dışı bırakıyor.
EDR-Freeze Kullanıcı Modunda Çalışarak Antivirüsleri Etkisiz Hale Getirdi
Araştırmaya göre EDR-Freeze, MiniDumpWriteDump API’sini WER ile birleştirerek antivirüs ve EDR yazılımlarını uyku hâline sokuyor. Normal şartlarda bu API bir işlemden bellek dökümü alırken hedef sürecin tüm iş parçacıklarını durduruyor ve işlem tamamlandığında yeniden çalıştırıyor. EDR-Freeze ise tam bu noktada WerFaultSecure sürecini askıya alarak hedef güvenlik yazılımını kalıcı olarak donmuş durumda bırakıyor.
Klasik saldırı yöntemleri genellikle “Kendi Savunmasız Sürücünü Getir” (BYOVD) tekniğine dayanıyordu. Bu yaklaşımda saldırganlar savunmasız sürücüleri sisteme yükleyip çekirdek düzeyinde işlem yapıyordu. Ancak bu yöntem sürücülerin gizlice sisteme sokulmasını gerektiriyor ve ciddi izler bırakıyordu. Yeni yöntem, herhangi bir sürücüye ihtiyaç duymadan yalnızca Windows’un yerleşik bileşenleriyle çalışıyor.
Araştırmacılar bu yöntemin aslında Windows’un tasarımındaki bir zayıflıktan kaynaklandığını belirtiyor. Microsoft Defender gibi güvenlik yazılımlarının etkisiz hâle gelmesi, kullanıcıları ciddi risklerle karşı karşıya bırakıyor. Güvenlik uzmanı Steven Lim, WER bileşeninin güvenlik yazılımlarına yönlendirilip yönlendirilmediğini izleyen bir araç geliştirdiğini açıkladı.
Microsoft’un ise bu tür saldırılara karşı WER bileşenini güçlendirecek adımlar atabileceği değerlendiriliyor. Öneriler arasında şüpheli çağrıların engellenmesi, sadece belirli işlem kimliklerine izin verilmesi veya parametrelerin kısıtlanması bulunuyor.
Siber güvenlik topluluğu, bu gelişmenin kurumlara önemli bir uyarı niteliği taşıdığını belirtiyor. Güvenlik çözümlerinin yalnızca imza tabanlı tehditlere değil, işletim sistemindeki tasarım açıklarına karşı da korunması gerektiği vurgulanıyor.
