EDR-Freeze: La técnica que “congela” tu antivirus sin apagarlo

14 Oct EDR-Freeze: La técnica que “congela” tu antivirus sin apagarlo

Posted at 11:09h in Ciberseguridad, Noticias Tecnología by
0 Likes

Una nueva técnica de evasión conocida como EDR-Freeze está sacudiendo al mundo de la ciberseguridad. A diferencia de los ataques que desinstalan o matan procesos, esta amenaza congela temporalmente las defensas sin que lo notes, dejando el sistema completamente expuesto.

¿Qué es EDR-Freeze?

EDR-Freeze (Endpoint Detection & Response Freeze) es una técnica de ataque que aprovecha Windows Error Reporting (WER) —el sistema que gestiona los reportes de errores y volcados de memoria— para suspender procesos críticos de seguridad sin detenerlos visiblemente.

El truco: los atacantes lanzan el componente legítimo WerFaultSecure.exe, lo hacen capturar un volcado de memoria del antivirus o EDR, y lo pausan justo antes de que se reanude, dejando el software de seguridad “en coma” mientras parece seguir activo.

Cómo funciona el ataque

  1. El atacante ejecuta WerFaultSecure.exe (parte legítima de Windows).
  2. Este proceso inicia un volcado de memoria del EDR o antivirus objetivo.
  3. Durante el volcado, Windows suspende los hilos del proceso para evitar conflictos.
  4. El atacante pausa el propio WerFaultSecure.exe antes de que termine.
  5. Resultado: el antivirus queda congelado en memoria, sin escanear ni registrar eventos.

En términos simples: tu EDR sigue encendido, pero no ve, no escucha y no actúa.

Impacto y escenarios reales

EDR-Freeze no requiere exploits de kernel ni drivers maliciosos, solo permisos administrativos.
Esto lo convierte en una herramienta ideal para:

  • Ransomware avanzado: cifrar archivos sin que el EDR lo detecte.
  • Robo de información: extraer credenciales o datos sensibles mientras el sistema “duerme”.
  • Movimiento lateral: expandirse en la red sin generar alertas.

Según análisis de Binary Defense y Morphisec, incluso soluciones protegidas como Microsoft Defender fueron afectadas en las primeras pruebas.

¿Por qué funciona?

El truco está en la confianza ciega de los EDR en los procesos del sistema.
Windows Error Reporting está firmado digitalmente por Microsoft, por lo que la mayoría de los agentes de seguridad lo consideran seguro.
EDR-Freeze explota exactamente esa confianza.

Rastros forenses

Aunque la técnica es sigilosa, deja algunos artefactos detectables:

  • Creación y eliminación rápida del archivo temporal t.txt.
  • Ejecución anómala de WerFaultSecure.exe con parámetros como /pid o /encfile.
  • Handles con permisos de suspensión (PROCESS_SUSPEND_RESUME) hacia procesos AV/EDR.
  • Periodos de inactividad inexplicables en los agentes de seguridad.

Reglas Sigma y Sysmon pueden detectar estos eventos con relativa facilidad si se configuran correctamente.

Recomendaciones para empresas

  1. Monitorea WerFaultSecure.exe. Su ejecución fuera de contextos de error es sospechosa.
  2. Activa alertas si un proceso de seguridad se suspende sin motivo.
  3. Aplica los últimos parches de Windows y del EDR.
  4. Reduce privilegios administrativos: el ataque requiere permisos altos.
  5. Implementa defensa en profundidad: monitoreo de red, SIEM, y backups fuera del endpoint.

EDR-Freeze no explota una vulnerabilidad, sino una lógica del sistema operativo.
Y eso lo hace aún más preocupante: el enemigo puede usar tus propias herramientas contra ti.
Hasta que los fabricantes ajusten sus defensas, la clave está en monitorear lo invisible y desconfiar de lo que parece “normal”.

Fuentes:

Tags:
No Comments

Post A Comment

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.