EDRStartupHinder: Neues Tool schaltet Windows-Abwehr beim Hochfahren aus

Ein neu entdecktes Exploit-Tool deaktiviert Windows Defender und andere Sicherheitsprogramme bereits während des Systemstarts. Die Methode nutzt legitime Windows-Funktionen gegen sich selbst und stellt eine neue Eskalationsstufe im Kampf gegen Cyberangriffe dar.

Die Cybersicherheits-Community ist alarmiert: Ein als EDRStartupHinder bekannt gewordenes Werkzeug kann Windows Defender und andere Endpoint Detection and Response (EDR)-Lösungen beim Hochfahren des Systems vollständig ausschalten. Das als Proof-of-Concept (PoC) veröffentlichte Tool zielt auf die neuesten Windows 11 25H2-Versionen ab und wendet die eigenen Sicherheitsmechanismen des Betriebssystems gegen es.

Diese Veröffentlichung markiert eine gefährliche Eskalation im Katz-und-Maus-Spiel zwischen Angreifern und Sicherheitsanbietern. Anders als bisherige Methoden, die laufende Sicherheitssoftware nur zu umgehen versuchten, verhindert dieser neue Ansatz, dass die Schutzprogramme überhaupt starten. Das System ist damit vom ersten Login an schutzlos.

Warum 73% der Unternehmen auf Cyberangriffe nicht vorbereitet sind – das Risiko zeigt sich gerade bei neuen Exploits wie EDRStartupHinder. Ein kostenloses E‑Book erklärt praxisnahe Maßnahmen, mit denen Geschäftsführer und IT-Verantwortliche ihre IT sofort stärken können: Prioritäten setzen, einfache Erkennungs- und Abwehrschritte sowie konkrete Checklisten, die ohne große Budgets wirken. Ideal für IT-Teams und Entscheider, die kurzfristig wirksame Maßnahmen brauchen. Jetzt kostenlosen Cyber-Security-Guide herunterladen

Laut Berichten von Cyber Security News und Cyber Press wurde das Tool von einem Sicherheitsforscher mit dem Pseudonym “TwoSevenOneT” vorgestellt. Der Forscher, bereits bekannt für andere Umgehungstools wie EDR-Freeze, veröffentlichte die Erkenntnisse, um eine grundlegende Schwachstelle in der Windows-Architektur aufzuzeigen.

Der Kern des Angriffs ist ein ausgeklügelter Vier-Stufen-Prozess, der die Windows Bindlink-API und die Protected Process Light (PPL)-Architektur ausnutzt. PPL soll eigentlich verhindern, dass nicht signierter oder bösartiger Code in kritische Systemprozesse wie den Windows Defender-Dienst (MsMpEng.exe) injiziert wird. EDRStartupHinder macht aus diesem Schutz einen “Kill-Switch”.

Die Malware richtet zunächst einen schädlichen Dienst ein, der eine höhere Priorität als die Ziel-EDR-Lösung hat. Dies erreicht sie durch Manipulation des Registry-Schlüssels ServiceGroupOrder. Sobald sie in der frühen Startphase aktiv ist, nutzt das Tool die Bindlink-API, um eine kritische System32-DLL – wie msvcp_win.dll – auf eine gefälschte Kopie umzuleiten.

Diese gefälschte DLL ist bis auf ein einziges modifiziertes Byte im PE-Header identisch mit dem Original. Dieses Byte macht die digitale Signatur ungültig. Wenn der Windows Defender-Dienst starten will, lädt er diese essentielle DLL. Da Defender als PPL-geschützter Prozess läuft, erzwingt er strikte Code-Signierung. Beim Aufeinandertreffen mit der nicht signierten DLL zwingt der PPL-Mechanismus den Defender-Prozess sofort zur Beendigung.

Anschließend führt die Malware eine “Bereinigung” durch und entfernt die Bindlink-Umleitung. Spätere Windows-Prozesse, die auf die gleiche DLL angewiesen sind, funktionieren dadurch normal weiter. Das Ergebnis: Ein System, das korrekt hochfährt, aber über keinen aktiven Virenschutz verfügt.

Gefahr für Windows 11 25H2: Eine strukturelle Schwäche

Der Exploit wurde speziell für Windows 11 25H2, das neueste Major-Update, validiert. Berichten zufolge ist die Technik nicht auf Windows Defender beschränkt; der Forscher bestätigte, dass sie im Labortest mehrere namhafte kommerzielle EDR- und Antivirenprodukte deaktivieren konnte.

Die Wirksamkeit von EDRStartupHinder liegt im Timing. Durch den Angriff auf das System32-Verzeichnis, bevor Sicherheitsdienste vollständig initialisiert sind, umgeht es viele herstellereigene Selbstverteidigungsmechanismen. Traditionelle “Anti-Tamper”-Funktionen gehen davon aus, dass der Sicherheitsdienst bereits läuft. In diesem Szenario wird der Dienst jedoch neutralisiert, bevor er seinen ersten Befehl ausführen kann.

Experten betonen, dass dieser Angriffsvektor besonders gefährlich ist, weil er legitime Windows-Funktionen nutzt – den Service Control Manager und die Bindlink-API – anstatt auf Speicherkorruptions- oder Code-Injection-Schwachstellen zurückzugreifen. Dieser “Living-off-the-Land”-Ansatz macht die erste Phase des Angriffs schwer von legitimen Systemadministrationsaufgaben zu unterscheiden.

Abwehr und Erkennung: Das müssen Systemadministratoren wissen

Da der PoC-Code nun auf GitHub verfügbar ist, sind Sicherheitsteams aufgefordert, sofort Erkennungsmaßnahmen zu implementieren. Zwar gibt es bis heute Morgen noch keinen Patch, doch Experten empfehlen Defense-in-Depth-Strategien, um die Vorläufer eines Angriffs zu identifizieren.

Laut technischen Analysen sollten Systemadministratoren drei spezifische Indikatoren für eine Kompromittierung (IoCs) überwachen:

1. Verdächtige Bindlink-Aktivität: Ungewöhnliche Nutzung von bindlink.dll oder dem bindflt.sys-Treiber, besonders während des Startvorgangs.
2. Manipulation der Dienst-Registry: Unautorisierte Änderungen am Schlüssel HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlServiceGroupOrder oder die Erstellung neuer Dienste in Hochprioritäts-Gruppen wie “TDI”.
3. Anomalien in System32: Fortgeschrittene Monitoring-Tools, die Dateizugriffe während des Starts protokollieren, können die Umleitung von Standard-DLLs erkennen.

Sicherheitsanbieter werden voraussichtlich Updates veröffentlichen, die ihre Dienst-Startroutinen härten, etwa durch statisches Verlinken kritischer Bibliotheken. Bis dahin bleibt die Abhängigkeit von PPLs strikter Signaturerzwingung ein Paradoxon: Die Funktion, die den EDR schützen soll, wird genutzt, um ihn zum Absturz zu bringen.

Die Evolution der EDR-Umgehung: Von der Umleitung zur Verdrängung

Die Veröffentlichung von EDRStartupHinder markiert eine Verschiebung im Bereich der Endpoint-Sicherheit. Vorherige Tools desselben Forschers, wie EDR-Redir, konzentrierten sich auf die Umleitung von EDR-Ordnern nach dem Systemstart. Anbieter reagierten mit einer Absicherung dieser spezifischen Verzeichnisse. Diese neue Iteration umgeht diese Verteidigungen, indem sie den Angriffspunkt in den System32-Ordner und die Vorinitialisierungsphase des Betriebssystems verlegt.

Kommentatoren argumentieren, dass dies die inhärenten Risiken von “Allow-Listing” oder der Abhängigkeit von OS-erzwungenen Vertrauensmodellen wie PPL ohne sekundäre Validierungsmechanismen aufzeigt. Wenn eine vertrauenswürdige Komponente (der OS-Loader) dazu gebracht werden kann, schlechte Daten an das Sicherheitstool zu liefern, wird dessen Strenge zum Verhängnis.

Der Forscher TwoSevenOneT gab in der Dokumentation an, mit der Veröffentlichung die Anbieter dazu zwingen zu wollen, diese low-level-Architektur-Schwachstellen anzugehen. Die Verfügbarkeit des Tools senkt jedoch die Einstiegshürde für Ransomware-Betreiber und andere Bedrohungsakteure, die EDRs oft als Vorstufe zur Datenverschlüsselung oder -exfiltration ausschalten wollen.

Die Branche erwartet nun eine formelle Reaktion von Microsoft auf den Missbrauch der Bindlink-API und PPL-Mechanismen. Angesichts der Schwere des Problems – die primäre OS-Abwehr wird beim Start wirkungslos – ist ein Out-of-Band-Sicherheitsupdate oder eine Änderung der Handhabung von System32-Umleitungen durch bindflt.sys in naher Zukunft wahrscheinlich.

Organisationen wird geraten, ihre Dienstkonfigurationen zu überprüfen und Boot-Log-Monitoring zu implementieren. Das Auftauchen von EDRStartupHinder ist eine deutliche Erinnerung daran, dass im komplexen Ökosystem der Windows-Interna Funktionen, die für Kompatibilität und Effizienz designed wurden, oft für Störungen zweckentfremdet werden können.

PS: Sind Sie Systemadministrator oder IT-Leiter und möchten verhindern, dass Schadcode bereits beim Boot Ihren Schutz lahmlegt? Der Gratis-Report “Cyber Security Awareness Trends” fasst aktuelle Bedrohungen zusammen und liefert sofort umsetzbare Schutzmaßnahmen und Checklisten für kleine und mittlere Unternehmen. Praktisch: Maßnahmen, die ohne große Budgets wirken und direkt in Ihrem Alltag anwendbar sind. Gratis E‑Book: Cyber-Security-Report anfordern