EDR-Redir V2 contorna Windows Defender usando arquivos falsos

BR Defense Center (By River de Morais e Silva)
ataque

Um pesquisador de segurança lançou uma ferramenta de evasão aprimorada chamada EDR-Redir V2, que explora a tecnologia de links de vinculação do Windows para contornar soluções de Detecção e Resposta de Endpoint (EDR) no Windows 11. Esta nova versão adota uma abordagem diferente de seu antecessor, visando diretórios pai em vez de atacar diretamente as pastas do software de segurança. A técnica se baseia na manipulação inteligente das estruturas de pastas do Windows, que os softwares de segurança dependem. Ao instalar, esses softwares colocam seus arquivos em locais padrão, como Program Files e ProgramData, e não conseguem impedir modificações em diretórios pai sem comprometer outras instalações legítimas. O EDR-Redir V2 cria links de vinculação que redirecionam pastas inteiras, fazendo com que o software de segurança acredite que a pasta controlada pelo atacante é seu diretório pai legítimo. Isso permite que os atacantes realizem o sequestro de DLLs, colocando arquivos executáveis maliciosos na localização redirecionada, potencialmente obtendo privilégios de execução de código sem serem detectados. A ferramenta está disponível publicamente no GitHub, o que a torna acessível tanto para pesquisadores de segurança quanto para potenciais agentes de ameaça. As organizações que utilizam soluções EDR no Windows devem avaliar suas defesas contra essa técnica e implementar controles de monitoramento adequados.

Fonte: https://cyberpress.org/edr-redir-v2-evades/

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
03/11/2025 • Risco: ALTO
ATAQUE

EDR-Redir V2 contorna Windows Defender usando arquivos falsos

RESUMO EXECUTIVO
A nova técnica de evasão EDR-Redir V2 representa uma ameaça significativa para a segurança das soluções EDR, especialmente no contexto do Windows 11. A manipulação de links de vinculação pode permitir que atacantes contornem proteções de segurança, resultando em possíveis compromissos de dados e impactos financeiros.

💼 IMPACTO DE NEGÓCIO

Financeiro
Potenciais perdas financeiras devido a compromissos de segurança e recuperação de incidentes.
Operacional
Possibilidade de execução de código malicioso sem detecção.
Setores vulneráveis
['Tecnologia da Informação', 'Serviços Financeiros', 'Setor Público']

📊 INDICADORES CHAVE

EDR-Redir V2 é uma ferramenta de evasão recém-lançada. Indicador
A técnica foi demonstrada especificamente contra o Windows Defender. Contexto BR
A ferramenta está disponível publicamente no GitHub. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar a integridade das pastas de segurança e a presença de links de vinculação não autorizados.
2 Implementar regras de detecção para monitorar a criação de links de vinculação em diretórios críticos.
3 Monitorar continuamente a integridade das estruturas de pastas e a atividade de arquivos em diretórios sensíveis.

🇧🇷 RELEVÂNCIA BRASIL

Os CISOs devem se preocupar com a vulnerabilidade das soluções de segurança que utilizam, especialmente em um ambiente onde o Windows é amplamente adotado. A técnica de redirecionamento pode comprometer a eficácia das defesas existentes.

⚖️ COMPLIANCE

Implicações legais e de conformidade com a LGPD, especialmente em casos de vazamento de dados.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).