Endpoint security-tools beschermen gebruikers tegen compromissen. EDR-Freeze schakelt ze echter uit via foutmeldingen binnen Windows en zonder van een kwetsbaarheid gebruik te maken. De aanpak draait om WerFaultSecure, een Windows Error Reporting-component met Protected Process Light (PPL)-privileges. Deze dienst verzamelt crash dumps van gevoelige systeemprocessen zodat deze te debuggen zijn. EDR-Freeze misbruikt de MiniDumpWriteDump-API uit […]