EDR-Freeze：Windowsの正規コンポーネントを利用してセキュリティソフトを停止させる新ツールを研究者が公開

佐々山 Tacos

2025.09.26

EDR-Freeze：Windowsの正規コンポーネントを利用してセキュリティソフトを停止させる新ツールを研究者が公開

BleepingComputer – September 22, 2025

マイクロソフトの正規コンポーネントを使い、ユーザーモードでEDRなどのセキュリティソリューションを回避する新たな手法「EDR-Freeze」を、セキュリティ研究者のTwoSevenOneThree（Zero Salarium）氏が発見。BYOVD攻撃ベースの既存のEDRバイパスとは異なり、EDR-Freezeは脆弱なドライバを使うことなくEDRの活動やアンチウイルスプロセスを無期限に休止させることができるという。

TwoSevenOneThree氏によれば、このEDRバイパス手法で用いられるのは主にWindows Error Reporting（WER）のコンポーネントである「WerFaultSecure」と、MiniDumpWriteDump API。WerFaultSecureは機微なシステムプロセスのクラッシュダンプを収集するためのもので、Protected Process Light（PPL）保護下での実行に対応している。一方、MiniDumpWriteDumpは、プロセスのメモリ・状態に関するスナップショット（minidump）を生成するDbgHelpライブラリ内のAPI。同APIはminidumpの生成中、対象プロセスの全スレッドを停止させ、完了後に再開する。

EDR-Freezeの手法はまず、WerFaultSecureを利用してMiniDumpWriteDumpをトリガー。MiniDumpWriteDumpによるダンプ作成が始まると、ターゲットとなるEDRやアンチウイルスのプロセスのスレッドがすべて一時的に停止することになるが、ここでWerFaultSecureのプロセス自体をも停止させることで、ターゲットプロセスの再開を不能にするというもの。

TwoSevenOneThree氏が「競合状態攻撃」と表現するこの攻撃は、大きく分けて以下4つのステップで行われるという。

①PPLとしてWerFaultSecureを実行する

②WerFaultSecureに引数を渡し、対象のプロセスID（PID）に対してMiniDumpWriteDumpを呼び出させる

③対象プロセスを、ダンプ作成によって停止状態になるまでポーリングする。

④直ちにWerFaultSecure（PROCESS_SUSPEND_RESUME）を開き、NtSuspendProcessを呼び出してダンプツールを凍結する。

なお、同氏はこれらのアクションを実行できるツール「EDR-Freeze」も作成し、GitHub上で公開。Windows 11 24H2に対して行われた同ツールのテストでは、Windows Defenderプロセスを凍結することに成功したという。

これまでのBYOVDベースのEDRバイパスは、ドライバーをターゲットシステムに密かに導入することや、実行保護機能をバイパスすること、またカーネルレベルのアーティファクトを消去することなどが必要だった。しかし、Windows OSにデフォルトで存在している正規コンポーネントを利用するEDR-Freezeはこれらの課題をクリアしている上、カーネルドライバーが不要でステルス性もより高くなるとされる。

WERがLSASSやセキュリティツールなどの機微なプロセスの識別子を指し示していないかをモニタリングすることにより、EDR-Freezeからのシステム保護が可能になる。これを実施するためのツールも、セキュリティ研究者Steven Lim氏によって開発されているとのこと。