/https://www.ilsoftware.it/app/uploads/2025/04/foto-michele-nasi.jpg){kind=small}
/https://www.ilsoftware.it/app/uploads/2025/09/vulnerabilita-windows-disattiva-software-sicurezza-antivirus.jpg "Windows Error Reporting sotto accusa: scoperta falla che disattiva antivirus ed EDR")
Windows Error Reporting (WER) è un sistema integrato in Windows che raccoglie informazioni sui crash e sugli errori delle applicazioni, inviando i dati a Microsoft per analisi diagnostica e miglioramento del software. Il fatto è che un ricercatore di sicurezza ha scoperto un problema legato proprio a WER che porta alla disabilitazione temporanea di tutte le soluzioni di sicurezza installate sulla macchina, ad esempio antivirus ed EDR (Endpoint Detection and Response).
I criminali informatici di solito usano driver kernel vulnerabili (da qui la crescente attenzione rivolta da Microsoft, con Windows 11, nei confronti di questi componenti software) per ottenere privilegi elevati e sospendere o manipolare i processi di sicurezza. EDR-Freeze è un proof-of-concept che invece sfrutta proprio WER per sospendere indefinitamente i processi di sicurezza, operando esclusivamente in modalità utente senza richiedere driver esterni.
Come funziona Windows Error Reporting (WER)
La funzione MiniDumpWriteDump, parte integrante di WER, genera un “minidump” di un processo: un’istantanea della memoria e dello stato dei thread utile per il debugging, quindi per risalire alla causa di un crash o di un comportamento anomalo. Durante la generazione del dump, tutti i thread del processo target sono sospesi per garantire la coerenza del contenuto della memoria, quindi ripresi automaticamente al termine dell’operazione.
WER è progettato per proteggere i processi critici del sistema, garantendo che i dump siano generati in modo sicuro e coerente.
Zero Salarium ha però scoperto che un aggressore o un processo malevolo possono sfruttare una race condition tra le funzionalità di MiniDumpWriteDump e di WerFaultSecure, eseguibile Windows alla base di WER che raccoglie i dump per scopi diagnostici e che può interagire con i processi critici senza interferenze.
Poiché WerFaultSecure sospende temporaneamente tutti i thread del processo antivirus/EDR per scrivere il dump, un aggressore può intercettare il momento in cui il dump ferma il processo target e generare una sorta di stato di “coma” che blocca tutte le funzionalità dei software di sicurezza in uso.
Implicazioni pratiche
Il software dimostrativo pubblicato su GitHub (non forniamo il link in quanto alcuni antivirus, compreso Microsoft Defender, già lo indicano come sospetto) mette ben in evidenza le implicazioni di un eventuale attacco.
Digitando EDR-Freeze.exe [TargetPID] [SleepTime], avendo cura di sostituire le parentesi quadre, rispettivamente, con il Process ID del processo da bloccare e il numero di millisecondi (ms) di sospensione, di fatto il sistema non è più protetto e resta in balìa dell’azione dell’attaccante.
Aiutandosi con uno strumento come Process Explorer, è immediato verificare la sospensione – per il numero di millisecondi indicato -, del processo da cui dipendono le funzionalità di protezione del sistema.
Contromisure e mitigazioni
Sebbene EDR-Freeze non sfrutti vulnerabilità del kernel, è possibile rilevare o prevenire l’abuso di WER.
Innanzi tutto, ha senso effettuare un monitoraggio dei parametri di WerFaultSecure: se l’eseguibile è invocato per processi critici come LSASS o per quelli legati ad antimalware ed EDR, è consigliata un’analisi approfondita.
Microsoft potrebbe inoltre rafforzare WerFaultSecure, consentendo l’uso del dump solo su processi predefiniti e bloccando esecuzioni sospette.
Ancora, il ricercatore di sicurezza Steven Lim ha sviluppato uno strumento per associare WerFaultSecure ai processi di Microsoft Defender, rendendo più facile la rilevazione di sospensioni sospette.
Note finali
EDR-Freeze rappresenta un esempio di come la conoscenza approfondita dei meccanismi interni di Windows possa permettere di aggirare i sistemi di sicurezza senza ricorrere a driver vulnerabili.
Per gli specialisti di cybersecurity, la nuova minaccia evidenzia due aspetti cruciali. In primis, anche processi critici possono essere manipolati tramite funzionalità legittime; per secondo il monitoraggio resta cruciale: il comportamento di componenti come WerFaultSecure può fornire segnali precoci di attività malevole.
In futuro, l’evoluzione delle contromisure Microsoft dovrà riconsiderare sia la sicurezza dei processi critici di Windows sia la robustezza dei meccanismi di reporting e dump.
/https://www.ilsoftware.it/app/uploads/2025/09/windows-11-arm-app-native.jpg "Windows 11 ARM: app native al centro, compatibilità garantita")
/https://www.ilsoftware.it/app/uploads/2025/09/windows-nt-35.jpg "Windows NT 3.5 compie 31 anni: la pietra miliare che ha cambiato la storia di Windows")
/https://www.ilsoftware.it/app/uploads/2025/09/windows-11-25H2-download-ISO.jpg "Windows 11 25H2: download ISO versione finale, in anteprima")
/https://www.ilsoftware.it/app/uploads/2025/09/video-sfondo-desktop-windows-11.jpg "Windows 11: lo sfondo del desktop si anima con i video in formato MP4")