EDR-Freeze: Alat Baru Manfaatkan WER Windows untuk “Membekukan” Perangkat Keamanan

Peneliti keamanan baru-baru ini memperkenalkan metode dan alat bukti konsep bernama EDR-Freeze yang mengeksploitasi mekanisme Windows Error Reporting (WER) untuk menonaktifkan sementara—bahkan tanpa memerlukan akses kernel—solusi keamanan seperti antivirus dan EDR (Endpoint Detection and Response). Teknik ini menunjukkan bahwa komponen Windows yang sah dapat disalahgunakan dari user mode untuk membuat agen keamanan berada dalam kondisi “coma” atau hibernasi, sehingga membuka celah bagi aktivitas berbahaya.

Inti Teknik: Mengandalkan WER dan MiniDumpWriteDump

EDR-Freeze memanfaatkan dua komponen Windows yang memang berfungsi untuk diagnostik: proses WerFaultSecure (komponen WER yang berjalan dengan hak istimewa Protected Process Light/PPL) dan API MiniDumpWriteDump dari pustaka DbgHelp. Secara ringkas langkah serangannya bekerja demikian:

1. WerFaultSecure dipicu agar memanggil MiniDumpWriteDump pada proses target (misalnya proses antimalware).
2. Saat MiniDumpWriteDump berjalan, API tersebut menangguhkan (suspend) seluruh thread proses target sementara menulis minidump.
3. Penyerang kemudian segera menangguhkan proses WerFaultSecure itu sendiri (mengirim NtSuspendProcess ke WerFaultSecure), sehingga proses dumper tidak pernah melanjutkan dan target tetap ditangguhkan tanpa pernah dibangunkan.

Hasilnya: proses keamanan yang menjadi sasaran tetap dalam keadaan hibernasi tak terbatas—tidak merespons dan tidak melakukan tugas protektifnya. Peneliti berhasil mereproduksi metode ini pada Windows 11 24H2, dan mendemonstrasikan pembekuan proses Windows Defender.

Mengapa Ini Berbahaya dan Berbeda dari Teknik Lama

Sebelumnya, teknik yang sering dipakai untuk menonaktifkan EDR mengandalkan Bring Your Own Vulnerable Driver (BYOVD)—yaitu memanfaatkan driver kernel rentan untuk eskalasi hak istimewa. BYOVD membutuhkan pengiriman driver rentan ke target, bypass proteksi eksekusi, serta pembersihan artefak kernel—langkah yang relatif berisiko dan rumit.

EDR-Freeze justru lebih licin karena tidak memerlukan driver kernel sama sekali. Serangan dijalankan sepenuhnya dari user mode dan menggunakan komponen Windows yang sah—sehingga jejak operasionalnya lebih sulit terdeteksi oleh mekanisme keamanan tradisional. Secara desain, ini lebih mirip kondisi race daripada kerentanan tunggal yang bisa ditambal dengan satu patch.

Deteksi dan Mitigasi Awal

Meski sifatnya desain, ada pendekatan mitigasi yang dapat diterapkan:

• Monitoring WER invocation: Deteksi jika WerFaultSecure diarahkan untuk membuat minidump terhadap proses sensitif—misalnya LSASS atau proses security—sebagai indikator perilaku mencurigakan.
• Pembatasan parameter WER: Mengizinkan pemanggilan MiniDumpWriteDump hanya untuk PID tertentu atau menegakkan aturan ketat pada argumen yang diterima WerFaultSecure.
• Perkuat kontrol terhadap proses PPL: Memperketat hak yang dapat memicu WerFaultSecure atau membatasi konteks pemanggilan untuk proses non-terpercaya.
• Pemantauan anomali proses dumper: Mendeteksi upaya penangguhan proses dumper (WerFaultSecure) yang mengikuti operasi dump sebagai pola serangan.

Beberapa peneliti sudah mengembangkan alat deteksi yang memetakan hubungan antara WerFaultSecure dengan proses Defender dan memeriksa aktivitas mencurigakan. Namun untuk perlindungan tuntas, Microsoft perlu mempertimbangkan perubahan arsitektural—misalnya menahan kemampuan untuk menangguhkan proses dumper atau memastikan dumper selalu menyelesaikan pekerjaannya bahkan bila barrier lain dipanggil.

Implikasi bagi Organisasi dan Pengguna

EDR-Freeze memperingatkan bahwa asumsi “keamanan hanya dapat dilarikan jika kernel dieksploitasi” kini perlu direvisi. Serangan berdaya tinggi bisa terjadi dari user mode dengan memanfaatkan fitur diagnostik OS yang sah. Organisasi harus:

• Meninjau kebijakan deteksi anomali pada agent keamanan mereka.
• Menguji ketahanan terhadap skenario pembekuan proses pada program EDR/AV di lingkungan lab.
• Mempertimbangkan lapisan pertahanan tambahan (hardening WER, pembatasan privilege, dan monitoring telemetri tingkat lanjut).

Kesimpulan

EDR-Freeze adalah bukti konsep yang menunjukkan kelemahan desain pada mekanisme diagnostik Windows ketika dipadu dengan teknik penangguhan proses. Karena memanfaatkan komponen resmi (WER + MiniDumpWriteDump) dan berjalan tanpa driver kernel, metode ini menimbulkan tantangan nyata bagi deteksi dan mitigasi. Solusi jangka pendek bergantung pada deteksi pola yang tidak wajar; jangka panjang menuntut langkah Microsoft untuk memperketat atau mengubah perilaku komponen yang dapat disalahgunakan.

Sumber: Zero Salarium