¡Quieto, Defender! Descubren forma de paralizar la protección de Windows usando sus propias herramientas
Cómo dejar fuera de combate a un sistema de protección sin escribir ni una sola línea de código malicioso.
El especialista Zero Salarium presentó un método que deja temporalmente fuera de servicio los procesos antivirus y los agentes EDR en Windows, utilizando las herramientas integradas del sistema. En el artículo se describe con detalle la idea y la herramienta operativa EDR-Freeze — una forma de detener de manera selectiva los procesos de supervisión sin instalar controladores vulnerables adicionales, basándose en el comportamiento de componentes estándar del sistema operativo y en una condición de carrera (race condition) entre procesos.
La esencia de la técnica es que MiniDumpWriteDump, al crear un volcado, pausa forzosamente todos los hilos del proceso objetivo, y el proceso acompañante que solicita la escritura del volcado es el encargado de reanudarlo. La investigación muestra cómo hacer que WerFaultSecure opere con privilegios de proceso protegido (PPL) al nivel WinTCB e iniciar el volcado del PID deseado, tras lo cual, en el momento crítico, se pausa el propio WerFaultSecure — como resultado, el proceso objetivo queda "en coma", porque el iniciador que podría desbloquearlo también está congelado.
Para ilustrar este enfoque, el autor emplea CreateProcessAsPPL, parámetros de inicio de WerFaultSecure, comprobación del estado del proceso y la llamada NtSuspendProcess al proceso iniciador en el momento oportuno. El mecanismo no requiere exploits externos para controladores y funciona en modo de usuario, lo que lo hace útil para pruebas rápidas y para escalar técnicas de evasión de monitorización.
La obra describe la herramienta EDR-Freeze con un repositorio en GitHub y ejemplos de ejecución: la utilidad acepta el PID del programa objetivo y el tiempo de pausa en milisegundos, tras lo cual realiza la carrera descrita y mantiene el proceso antivirus en estado suspendido. En la demostración se muestra que MsMpEng.exe (servicio de Windows Defender) en Windows 11 24H2 pudo ser suspendido por el tiempo especificado y su estado se pudo rastrear mediante Process Explorer. El autor subraya que la técnica sirve como alternativa a los enfoques BYOVD y elimina la necesidad de trasladar controladores vulnerables a la máquina de prueba.
El especialista recomienda supervisar parámetros anómalos de inicio de WerFaultSecure: si sus argumentos apuntan al PID de servicios sensibles — LSASS, procesos antivirus o agentes EDR — eso es motivo de investigación. También para la protección se necesitan mecanismos de control de las cadenas de inicio de procesos protegidos y la comprobación de secuencias inusuales al crear volcados.
¿Estás cansado de que Internet sepa todo sobre ti?