{"id":316191,"date":"2025-09-26T12:53:56","date_gmt":"2025-09-26T10:53:56","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=316191"},"modified":"2025-09-28T00:43:29","modified_gmt":"2025-09-27T22:43:29","slug":"windows-11-24h2-hacker-stehlen-mit-werfaultsecure-exe-lsass-passwoerter-und-legen-sicherheitssoftware-lahm","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/09\/26\/windows-11-24h2-hacker-stehlen-mit-werfaultsecure-exe-lsass-passwoerter-und-legen-sicherheitssoftware-lahm\/","title":{"rendered":"Windows 11 24H2: Hacker k\u00f6nnen mit WerFaultSecure.exe LSASS-Passw\u00f6rter stehlen und Sicherheitssoftware lahm legen"},"content":{"rendered":"

\"Windows\"[English<\/a>]Ich ziehe mal ein Sicherheitsthema rund um Windows 11 24H2 raus, was mich bereits ca. eine Woche besch\u00e4ftigt. Sicherheitsforscher von Zero Solarium haben eine M\u00f6glichkeit gefunden, die Windows-Datei WerFaultSecure.exe<\/em> zu missbrauchen, um einerseits LSASS-Passw\u00f6rter aus dem Cache zu stehlen. Andererseits lassen sich Sicherheitsanwendungen \u00fcber WerFaultSecure.exe<\/em> und ein entsprechendes Tool einfrieren. Allerdings erkennt der Microsoft Defender diesen Versuch zum Einfrieren. Und der LSASS-Dump erfordert das Kopieren einer Windows 8.1 Datei auf das Windows 11-System.<\/p>\n

<\/p>\n

EDR-Freeze mittels WerFaultSecure.exe<\/h2>\n

\"\"Erste Informationen zu einem Problem in Windows sind mir zum 21. September 2025 \u00fcber nachfolgenden Tweet<\/a> untergekommen.<\/p>\n

\"Windows<\/a><\/p>\n

Zero Solarium beschreibt im Artikel\u00a0EDR-Freeze: A Tool That Puts EDRs And Antivirus Into A Coma State<\/a>, wie man mit Windows-Bordmitteln Sicherheitssoftware (Endpoint Detection and Response, EDR, Antivirensoftware<\/em>) im Betriebssystem aushebeln kann. Dazu lie\u00dfe sich die Datei WerFaultSecure.exe\u00a0<\/em>der Windows Error Reporting-Funktion missbrauchen.<\/p>\n

WerFaultSecure missbraucht<\/h3>\n

Auf den Sachverhalt stie\u00dfen die Sicherheitsforscher von Zero Solarium bei der Entwicklung eines Tools zum Dumpen des LSA-Prozesses WSASS. Dort erhielt der Sicherheitsforscher einige Informationen \u00fcber das Programm WerFaultSecure.exe<\/em>.<\/p>\n

\"WerFaultSecure<\/em> unterst\u00fctzt die Ausf\u00fchrung mit PPL-Schutz auf WinTCB-Ebene\", schreibt der Autor des Zero Solarium-Artikels.\u00a0Das K\u00fcrzel PPL steht f\u00fcr Protected Process Light<\/em>, eine in Windows 8.1 eingef\u00fchrte Sicherheitsfunktion, um wichtige Systemprozesse vor Manipulationen oder Beendigung zu sch\u00fctzen. Der Mechanismus soll sensible Dienste wie Antivirenl\u00f6sungen und EDR-Systeme vor unbefugten Eingriffen.<\/p>\n

WinTCB sind eine Klasse von besonders gesch\u00fctzten Prozessen mit besonderen Privilegien (einige Erkl\u00e4rungen finden sich hier<\/a> und hier<\/a>). Wenn WerFaultSecure.exe\u00a0<\/em>also auf WinTCB-Level l\u00e4uft und einen PPL-Schutz unterst\u00fctzt, kann man mit dem Tool allerhand Unsinn in Windows anstellen.<\/p>\n

Analyse der Situation durch Sicherheitsforscher<\/h3>\n

Die Leute bei Zero Solarium haben also festgestellt, dass die Funktion MiniDumpWriteDump sehr schnell ausgef\u00fchrt wird, so dass Benutzer m\u00f6glicherweise gar mitbekommen, dass der Zielprozess w\u00e4hrend des Schreiben des Minidumps angehalten wurde. Es stand also die Frage im Raum, wie man diesen Mechanismus ausweiten k\u00f6nne.<\/p>\n

Wenn ein normaler Prozess einen neuen Prozess mit PPL-Schutz ausf\u00fchren kann, l\u00e4sst sich w\u00e4hrend des CreateProcess<\/em> der untergeordnete PPL-Prozess mit dem Flag CREATE_SUSPENDED<\/em> zwangsweise anhalten.<\/p>\n

Die dauerhaft einzufrierenden Prozesse sind h\u00e4ufig EDR- und Antivirenprozesse, die aber in der Regel durch PPL (Protected Process Light) gesch\u00fctzt sind. Es gilt also den PPL-Schutz zu umgehen, um mit diesen Prozessen interagieren zu k\u00f6nnen.<\/p>\n

Mit den Parametern zum Ausf\u00fchren von WerFaultSecure, r\u00fcckportiert aus einem fr\u00fcheren\u00a0 Projekt, l\u00e4sst die Funktion MiniDumpWriteDump<\/em> mit jedem gew\u00fcnschten Prozess aktivieren. Und in Kombination mit dem Tool CreateProcessAsPPL<\/em> l\u00e4sst sich WerFaultSecure<\/em> nutzen, um den PPL-Schutz zu umgehen.\u00a0Wer die Funktion OpenProcess<\/em> mit PROCESS_SUSPEND_RESUME-Berechtigung f\u00fcr PPL-Prozesse aufrufen kann, hat die M\u00f6glichkeit, diesen Prozess auch anzuhalten.<\/p>\n

Das\u00a0TwoSevenOneT-Tool <\/span>EDR-Freeze<\/h2>\n

Basierend auf den Erkenntnissen aus dem obigen Artikel<\/a> hat ein Sicherheitsforscher\u00a0TwoSevenOneT das Tool <\/span>EDR-Freeze geschrieben und auf GitHub ver\u00f6ffentlicht<\/a>. Dieses Tool nutze die Software-Sicherheitsl\u00fccke von WerFaultSecure aus, um die Prozesse von EDRs und Antimalware-Programmen anzuhalten, ohne die BYOVD-Angriffsmethode (Bring Your Own Vulnerable Driver) verwenden zu m\u00fcssen.<\/p>\n

EDR-Freeze h\u00e4lt Schutzsoftware an<\/h3>\n

EDR-Freeze arbeitet im Benutzermodus, sodass Sie keine zus\u00e4tzlichen Treiber installieren m\u00fcssen. Es kann auf der neuesten Version von Windows ausgef\u00fchrt werden. Das Tool h\u00e4lt alle Antimalware-\/EDR-Prozesse f\u00fcr einen Zeitraum von 1\u20133 Sekunden vor\u00fcbergehend\u00a0 an. Wird das Tool per Script aufgerufen, k\u00f6nnte es die Sicherheitsprozesse auch \u00fcber lange Zeitr\u00e4ume einfrieren.<\/p>\n

\"EDR-Freeze\"<\/a><\/p>\n

Die Tests w\u00e4hrend der Entwicklung wurden mit der aktuellen voll gepatchten Version von Windows 11 24H2 durchgef\u00fchrt.\u00a0In diesem Tweet<\/a> best\u00e4tigt eine weitere Partei, dass der Ansatz funktioniert.<\/p>\n

Schutz vor diesem Angriff<\/h3>\n

Steven Lim – den ich in obigem Tweet<\/a> zitiert habe, hat ein Tool DefenderXDR KQL entwickelt, um solche Angriffe durch Zuordnung der WerFaultSecure PID zu Kern-MDE-Prozessen zu erfassen.<\/p>\n

\"EDR-Freeze<\/a><\/p>\n

Sicherheitsforscher Florian Roth weist in obigem Tweet darauf hin, dass erste Beispiele bei VirusTotal hochgeladen wurden. Allerdings ist die \"H\u00fctte wohl nicht am brennen\". Ich hatte die Tage bereits einen Tweet gesehen, dass es bei Windows 11 Enterprise nicht funktioniere, da dort \"Sicherheitsfunktionen\" den Angriff verhinderten (finde diese Quelle aktuell aber nicht mehr).<\/p>\n

Die Kollegen von Bleeping Computer hatten bei Microsoft nachgefragt und geben hier<\/a> die Antwort eines Microsoft-Sprechers wieder: \"Kunden, die Microsoft Defender verwenden, sind von diesem Tool nicht betroffen, und jeder Versuch wird vor der Ausf\u00fchrung erkannt und blockiert. Wir evaluieren und sichern Windows weiterhin gegen diese und andere potenzielle Angriffstechniken.\".<\/p>\n

Hacker nutzen WerFaultSecure f\u00fcr LSASS-Passwort-Dump<\/h2>\n

Dann hatte ich noch den nachfolgenden Tweet<\/a> gesehen – und ein Leser hat mich ebenfalls darauf hingewiesen (danke daf\u00fcr).<\/p>\n

\"Passwort-Dump<\/a><\/p>\n

Cyber Security News beschreibt in diesem Artikel<\/a>, wie Angreifer veraltete Versionen des Windows-Fehlerberichtsprogramm WerFaultSecure.exe <\/em>missbrauchen k\u00f6nnen, um den Speicherbereich des Local Security Authority Subsystem Service (LSASS.EXE) zu extrahieren. Mit diesen Dumps lassen sich zwischengespeicherte Anmeldedaten (aus dem Cache) von vollst\u00e4ndig gepatchten Windows 11 24H2-Systemen sammeln.\u00a0Auch dieser Artikel bezieht sich auf den oben von Zero Solarium skizzierten Ansatz, WerFaultSecure.exe <\/em>zu missbrauchen.<\/p>\n

Angreifer ben\u00f6tigen einen unverschl\u00fcsselten Speicher-Dump<\/h3>\n

Nachdem Angreifer sich zun\u00e4chst Zugang zu einem System verschafft haben, versuchen sie h\u00e4ufig, den LSASS-Speicher zu dumpen. Denn dort finden sich Anmeldedaten, mit denen Angreifer ggf. ihre Berechtigungen erweitern und sich lateral im Netzwerk bewegen k\u00f6nnen.<\/p>\n

Normalerweise wird ein LSASS-Speicherdump verschl\u00fcsselt gespeichert.\u00a0Daher greifen die Hacker zu einem Trick: In Windows 8.1 gab es eine Schwachstelle, durch die WerFaultSecure.exe<\/em> dazu gebracht werden konnte, Crash-Dumps zu schreiben, ohne das die im Betriebssystem integrierten Verschl\u00fcsselungsroutinen angewendet wurden. In Konsequenz werden unverschl\u00fcsselte Dump-Dateien auf der Festplatte gespeichert, aus denen man die Passw\u00f6rter extrahieren kann.<\/p>\n

Windows 11 WerFaultSecure.exe unterjubeln<\/h3>\n

Sicherheitsforscher von Zero Solatium haben nun einfach eine WerFaultSecure.exe<\/em> von Windows 8.1 genommen und diese auf einen Windows 11 24H2-Rechner kopiert. Ich habe es nicht getestet – aber die Windows 8.1-Kopie von WerFaultSecure.exe<\/em> ist von Microsoft signiert und kann wohl aus beliebigen Ordnern gestartet werden (im Beispiel aus C:\\Tmp\\<\/em>). Anschlie\u00dfend konnten die Sicherheitsforscher ein eigenes Tool dazu bringen,\u00a0 \u00fcber WerFaultSecure.exe <\/em>unter dem Schutz der PPL-Erweiterung den LSASS-Speicher als Raw-Dump auf die Festplatte zu schreiben.<\/p>\n

Zero Salarium berichtet hier<\/a>, dass die Exploit-Sequenz die Ausf\u00fchrung von WerFaultSecure.exe<\/em> mit undokumentierten Schaltern erfordert. Diese Optionen wurden durch Reverse Engineering entdeckt:<\/p>\n