Una nueva técnica, presentada como prueba de concepto bajo el nombre EDR-Freeze, revela cómo es posible evadir soluciones de seguridad directamente desde el modo de usuario en sistemas Windows, aprovechando el componente Windows Error Reporting (WER).
Lo más sorprendente de este enfoque es que no requiere controladores vulnerables ni privilegios elevados. En cambio, se vale de mecanismos legítimos del sistema operativo para poner en pausa (literalmente) las soluciones de seguridad, como los agentes EDR (Endpoint Detection and Response) y antivirus, dejándolos en un estado similar a la hibernación.
Utilizando el marco de WER junto con la función MiniDumpWriteDump de la API de Windows, esta técnica logra suspender indefinidamente la actividad de los procesos de protección, abriendo así una peligrosa ventana para ejecutar acciones maliciosas sin ser detectado.
Hasta ahora, muchas técnicas para desactivar soluciones EDR (Endpoint Detection and Response) se han basado en el enfoque conocido como “Bring Your Own Vulnerable Driver” (BYOVD). Básicamente, consiste en que el atacante introduce un controlador legítimo pero vulnerable en el sistema, y lo aprovecha para escalar privilegios y tomar el control a nivel de kernel.
Pero este método tiene varios inconvenientes: requiere mover el controlador al equipo objetivo, sortear las protecciones de ejecución del sistema operativo y, por si fuera poco, borrar cualquier rastro que pueda delatar la intrusión en el kernel. No es precisamente lo más silencioso del mundo.
Ahí es donde entra EDR-Freeze, que propone un enfoque mucho más discreto y elegante. En lugar de depender de un controlador de kernel, esta técnica opera por completo desde el modo de usuario, utilizando componentes legítimos de Windows que ya están presentes en el sistema por defecto. En otras palabras, no necesita introducir nada extraño, y eso lo convierte en una forma mucho más difícil de detectar para las soluciones de seguridad tradicionales.
¿Cómo funciona EDR-Freeze?
La técnica detrás de EDR-Freeze aprovecha una función legítima del sistema operativo llamada WerFaultSecure, que forma parte del sistema de reporte de errores de Windows (Windows Error Reporting). Este componente se ejecuta con privilegios especiales conocidos como Process Protection Light (PPL), y su trabajo es recopilar volcados de memoria de procesos sensibles para ayudar en tareas de depuración y diagnóstico.
Aquí es donde entra en juego otra pieza clave: MiniDumpWriteDump, una API de la biblioteca DbgHelp de Windows. Esta función permite capturar una “foto” de la memoria y el estado actual de cualquier proceso, lo que técnicamente se conoce como un minidump. Para hacerlo, MiniDumpWriteDump suspende todos los subprocesos del proceso objetivo mientras recopila los datos, y luego, en teoría, debería reanudarlos automáticamente una vez termina.
Pero EDR-Freeze cambia las reglas del juego.
Lo que hace esta técnica es aprovechar WerFaultSecure para disparar MiniDumpWriteDump contra un proceso de seguridad, como un EDR o un antivirus. Mientras se está creando ese volcado de memoria, el atacante suspende manualmente el propio WerFaultSecure, lo que impide que termine el proceso y, por tanto, que los subprocesos del software de seguridad se reanuden.
¿El resultado? El EDR o el antivirus se queda en un estado de "pausa indefinida", como si estuviera congelado o en coma, sin alertas, sin actividad, y completamente inutilizado sin haber sido terminado. Esto permite al atacante operar libremente en el sistema sin interferencias.
Configuración de los parámetros (izquierda) y suspensión de Windows Defender (derecha)
El ataque paso a paso
El proceso técnico detrás de EDR-Freeze se basa en una condición de carrera (race condition), un tipo de fallo lógico que ocurre cuando dos procesos acceden a los mismos recursos al mismo tiempo sin la sincronización adecuada.
Aquí están los pasos simplificados:
-
Lanzar WerFaultSecure como un proceso protegido (PPL): Se inicia el componente legítimo que tiene permiso para acceder a procesos sensibles.
-
Indicarle que cree un volcado de memoria del proceso de seguridad (por ejemplo, un EDR o antivirus): Esto se logra pasando argumentos que apunten al ID del proceso objetivo.
-
Esperar hasta que el proceso objetivo esté completamente suspendido por MiniDumpWriteDump. En este punto, todos los subprocesos del proceso objetivo están "congelados".
-
Justo en ese momento, suspender WerFaultSecure, el componente encargado de completar la operación. Así se evita que reanude el proceso original, dejándolo suspendido indefinidamente.
Este ataque puede ejecutarse en apenas unos segundos y sin necesidad de privilegios de kernel, lo que lo hace altamente sigiloso y difícil de detectar.
Conoce más sobre: Principales Vulnerabilidades de Día Cero explotadas en 2025
¿En qué sistemas funciona?
La técnica ha sido probada con éxito en Windows 11 versión 24H2, donde se logró congelar completamente el proceso de Windows Defender, una de las soluciones de seguridad nativas más utilizadas.
Además, se ha publicado una herramienta que automatiza este proceso paso a paso, lo que aumenta el riesgo de que actores maliciosos la adopten rápidamente.
¿Por qué esta técnica es tan efectiva?
A diferencia de otras técnicas que requieren explotar vulnerabilidades o introducir controladores maliciosos (como el método BYOVD), EDR-Freeze opera únicamente con herramientas legítimas que ya están presentes en el sistema operativo. No hay malware evidente, no hay archivos extraños que levantarían sospechas. Todo parece, a simple vista, una operación normal del sistema.
Esto le da una gran ventaja al atacante:
-
No necesita escalar privilegios a nivel de kernel.
-
Evita detección por firmas tradicionales de antivirus.
-
No deja rastros evidentes en el sistema.
-
Aprovecha herramientas de Windows que están firmadas y protegidas.
Podría interesarte leer: EDR vs Antivirus: ¿En qué se diferencian?
Conclusión
Este tipo de ataque no explota una vulnerabilidad en el sentido tradicional, sino que aprovecha una debilidad en el diseño de cómo interactúan dos funciones legítimas de Windows: MiniDumpWriteDump y WerFaultSecure. En esencia, el atacante simplemente encadena funciones tal como fueron diseñadas para usarse, pero con un propósito muy distinto al original.
La buena noticia es que sí existen formas de defenderse. Una de las más efectivas es monitorizar el comportamiento de Windows Error Reporting (WER), especialmente si intenta interactuar con procesos sensibles como LSASS, Microsoft Defender u otras herramientas de seguridad. Si WER comienza a generar volcados de memoria de estos procesos, eso debería levantar una alerta.
Por su parte, Microsoft aún no ha implementado medidas directas para bloquear este tipo de abuso, aunque existen varias formas en las que podría endurecer el sistema. Por ejemplo:
-
Restringiendo qué procesos pueden activar WerFaultSecure.
-
Bloqueando intentos sospechosos de crear volcados en procesos protegidos.
-
Limitando el uso de parámetros peligrosos o restringiendo el acceso a ciertos identificadores de procesos (PID).
A medida que esta técnica se vuelva más conocida, es probable que veamos actualizaciones o parches que refuercen estos componentes del sistema operativo. Mientras tanto, la clave está en una supervisión activa y una buena estrategia de seguridad basada en comportamiento, más allá de las simples firmas de malware.
Aquí es donde entra en juego el papel clave de un SOC moderno, bien gestionado y con funciones de IA, como el Centro de Operaciones de Seguridad de TecnetOne. Este tipo de infraestructura especializada permite monitorizar en tiempo real actividades inusuales, como el uso indebido de WerFaultSecure o intentos de suspender procesos de seguridad.
Gracias a sus capacidades de detección basada en comportamiento, inteligencia de amenazas y respuesta automatizada, el SOC de TecnetOne está preparado para identificar y contener técnicas avanzadas como EDR-Freeze antes de que representen un riesgo real.
Contar con un SOC no solo fortalece la postura de seguridad de una organización, sino que también garantiza una respuesta rápida y efectiva ante amenazas que los antivirus tradicionales no detectan, minimizando el impacto y mejorando la resiliencia frente a ataques sofisticados.