Un investigador ha publicado un proof-of-concept llamado EDR-Freeze que automatiza un flujo capaz de suspender temporalmente procesos de EDR y antivirus en Windows aprovechando el subsistema de Windows Error Reporting (WER). El hallazgo no requiere drivers externos (no BYOVD) y ha sido reportado por medios especializados; además el repositorio público ya está disponible. Esto representa un riesgo operativo: mientras el agente esté “congelado”, las defensas de endpoint pueden dejar de monitorear hooks y ejecución, lo que facilita actividades maliciosas de seguimiento si un atacante lo explota.
¿En qué consiste, a grandes rasgos?
EDR-Freeze explota un comportamiento del mecanismo de volcado de memoria (minidump) usado por Windows para capturar el estado de procesos: durante la creación de un volcado, el hilo del proceso objetivo queda momentáneamente detenido para garantizar consistencia. El PoC encadena este comportamiento con una condición de carrera que deja tanto al proceso que realiza el volcado como al objetivo en un estado suspendido, prolongando la “pausa” del agente de seguridad. La técnica se ejecuta en espacio de usuario y no necesita introducir drivers vulnerables en el sistema.
Nota: por responsabilidad, este artículo no describe pasos reproductibles ni fragmentos de código del PoC. Nuestro objetivo es explicar el riesgo y proponer mitigaciones prácticas para equipos de seguridad.
Impacto para organizaciones
Ventana de riesgo operacional: durante la suspensión, los EDR/antivirus pueden dejar de interceptar procesos, llamadas a APIs y actividad maliciosa en memoria. Esto abre una ventana para ejecución de cargas útiles o movimientos laterales.
Amplitud de afectación: informes iniciales indican pruebas exitosas en Windows 11 (24H2) y potencial aplicabilidad en sistemas con componentes WER/DbgHelp sin parches o con configuraciones que permiten la secuencia del PoC.
Reputación y cumplimiento: un compromiso que evada detección por esta técnica puede derivar en pérdidas de datos y sanciones regulatorias según la industria.
Qué deben hacer los equipos de seguridad (prioridades)
Monitoreo e inteligencia de procesos: detectar ejecuciones anómalas de componentes relacionados con WER (p. ej. procesos que invoquen volcado de otros procesos con parámetros inusuales). Priorizar alertas cuando WER se invoque apuntando a procesos de seguridad (EDR/antimalware).
Detección de suspensiones inesperadas de agentes: instrumentar telemetría para detectar cuando procesos críticos (agentes EDR/antimalware) pasan a estados suspendidos sin una causa legítima (por ejemplo, mantenimiento programado). Correlacionar con eventos de creación de procesos PPL o invocaciones de herramientas de depuración.
Revisar y endurecer controles de integridad: asegurar que los agentes de seguridad ejecutan con protecciones PPL/WinTCB donde sea aplicable, y que las cuentas y workflows que puedan crear procesos privilegiados estén restringidos y auditados.
Actualizaciones y parcheo: aplicar actualizaciones de Windows y de proveedores de EDR/antivirus tan pronto como estén disponibles; este tipo de técnicas suelen mitigarse mediante cambios en componentes del sistema o hardening por parte de los vendors.
Reglas de detección para SIEM/XDR: crear detecciones que busquen patrones asociados (ejecuciones inusuales de herramientas de volcado, creación de procesos PPL con parámetros sospechosos, llamadas a APIs de dump correlacionadas con suspensiones de procesos críticos). Use la inteligencia pública como referencia para afinar YARA/IOCs y reglas de comportamiento.
Recomendaciones operativas (pasos concretos de defensa — sin detalles explotables)
Active alertas que notifiquen cuando un proceso antimalware/EDR entre en estado SUSPENDIDO o sea detonado por otro proceso inesperado.
Bloquee o restrinja cuentas/servicios que puedan crear procesos con privilegios PPL; limite la capacidad de procesos no administrativos para lanzar componentes de depuración.
Exija registro y aprobación para cualquier uso legítimo de herramientas de volcado en entornos de producción; mantenga un inventario de herramientas y procesos permitidos.
Coordine con proveedores de EDR/antivirus: solicite orientación, parches y signatures específicas luego de la publicación del PoC. Muchos vendors ya están respondiendo con recomendaciones técnicas y detecciones.
¿Qué están diciendo los vendors y la comunidad?
Medios y grupos de seguridad ya han cubierto el PoC y varios laboratorios han empezado a publicar análisis técnicos y reglas de detección. Los proveedores de seguridad de endpoints y Microsoft están siendo notificados y es probable que publiquen mitigaciones y actualizaciones en los próximos días/semanas. Se recomienda seguir fuentes reconocidas (proveedores, blogs de respuesta a incidentes y sitios de noticias de seguridad) para actualizar las defensas
Conclusión
EDR-Freeze pone de relieve que los vectores de evasión evolucionan más allá de la introducción de drivers vulnerables: aprovechar comportamientos legítimos del sistema (WER/volcados) y condiciones de carrera puede permitir que un atacante “silencie” temporalmente las defensas. Para las empresas, la prioridad inmediata es detectar y reaccionar ante suspensiones anómalas de agentes de seguridad, endurecer controles sobre la creación de procesos privilegiados y coordinar con proveedores para aplicar parches y reglas de detección. Mantener una postura de defensa en profundidad y telemetría amplia sigue siendo la mejor mitigación ante técnicas de evasión emergentes.
