La Threat Research Unit (TRU) di Acronis segnala la diffusione di una nuova tecnica di attacco, resa pubblica attraverso un proof-of-concept tool denominato EDR-Freeze, che dimostra come gli attaccanti possano sfruttare Windows Error Reporting (WER) per sospendere in modo silenzioso gli strumenti di sicurezza, senza ricorrere a driver vulnerabili.
Diversamente dai consueti attacchi “bring your own vulnerable driver”, EDR-Freeze opera interamente in user mode, sfruttando componenti legittimi di Windows. La tecnica consente di avviare un processo WER protetto che sospende i thread dell’applicazione di sicurezza presa di mira, lasciando l’EDR o l’antivirus “congelato” e inattivo per un tempo indefinito.
Secondo i ricercatori, la procedura è stata testata con successo anche su Windows 11, riuscendo persino a sospendere Microsoft Defender. Poiché sfrutta funzionalità native del sistema operativo, non si tratta di una vulnerabilità facilmente risolvibile. È pertanto consigliato monitorare le attività anomale del WER e limitare l’interazione degli strumenti di dumping con i processi critici.
È importante sottolineare che Acronis EDR non risulta vulnerabile a questa tecnica. I test effettuati confermano che la soluzione rileva e blocca il tentativo, mantenendo la piena operatività e risultando immune al “congelamento”.
