{"id":11034,"date":"2025-10-01T12:57:55","date_gmt":"2025-10-01T18:57:55","guid":{"rendered":"https:\/\/beaconlab.us\/?p=11034"},"modified":"2025-10-01T12:59:24","modified_gmt":"2025-10-01T18:59:24","slug":"edr-freeze-la-nueva-tecnica-que-congela-tus-ciber-defensas","status":"publish","type":"post","link":"https:\/\/beaconlab.us\/es\/edr-freeze-la-nueva-tecnica-que-congela-tus-ciber-defensas\/","title":{"rendered":"EDR-Freeze: la nueva t\u00e9cnica que congela tus ciber defensas"},"content":{"rendered":"\n

Una reciente prueba de concepto llamada EDR-Freeze<\/strong> demuestra c\u00f3mo un atacante puede poner en \u201ccoma\u201d a los procesos de EDR o antivirus usando componentes leg\u00edtimos de Windows, sin necesidad de drivers vulnerables ni elevaci\u00f3n al modo kernel. El resultado: las defensas quedan aparentemente activas, pero sin funcionar, permitiendo al atacante actuar sin detecci\u00f3n. Este bolet\u00edn describe c\u00f3mo funciona la t\u00e9cnica, qu\u00e9 pruebas se han hecho, qu\u00e9 se\u00f1ales buscar y c\u00f3mo defenderse contra ella.<\/p>\n\n\n\n

C\u00f3mo funciona:<\/strong><\/p>\n\n\n\n

Windows ofrece un mecanismo para crear volcados (snapshots) de un proceso para diagn\u00f3stico cuando algo falla. Durante ese proceso, Windows pausa temporalmente los hilos del programa para capturar el estado de forma consistente. EDR-Freeze aprovecha esa pausa: lanza el proceso de volcado sobre el EDR\/antivirus y, en el instante en que el proceso objetivo queda suspendido, detiene tambi\u00e9n al proceso que est\u00e1 gestionando el volcado. El resultado: el EDR queda suspendido y no se reanuda.<\/p>\n\n\n\n

Para lograrlo usa componentes leg\u00edtimos del sistema (el servicio de reporte de errores de Windows), por eso la t\u00e9cnica no requiere explotar fallos del kernel ni instalar drivers maliciosos. (En t\u00e9rminos t\u00e9cnicos: el PoC usa la ruta de volcado de Windows y despu\u00e9s realiza una suspensi\u00f3n del proceso que hizo el volcado, dejando al proceso objetivo \u201ccongelado\u201d.)<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Qu\u00e9 se ha probado y qu\u00e9 resultados se vieron:<\/strong><\/p>\n\n\n\n

En laboratorios se consigui\u00f3 dejar en suspensi\u00f3n procesos como el de Microsoft Defender (MsMpEng.exe) en Windows 11. El proceso segu\u00eda visible en el sistema pero no ejecutaba trabajo ni detectaba actividad. Las herramientas de supervisi\u00f3n muestran el proceso \u201cparado\u201d \u2014no hay CPU, no hay hilos activos\u2014 aunque el proceso no haya desaparecido. El PoC fue publicado para investigaci\u00f3n y pruebas defensivas, por lo que los equipos de respuesta ya pueden reproducirlo en entornos controlados.<\/p>\n\n\n\n

Limitaciones importantes<\/strong><\/p>\n\n\n\n

La t\u00e9cnica depende de detener exactamente el proceso gestor del volcado en el momento justo; si la sincronizaci\u00f3n falla, el EDR se reanuda y el intento fracasa. No explota vulnerabilidades, sino que es un abuso de funcionalidades leg\u00edtimas del sistema, por eso los bloqueos por firmas no son una protecci\u00f3n fiable. Algunos entornos limitan c\u00f3mo se invoca el volcado o tienen controles que impiden este flujo; adem\u00e1s, ciertos mecanismos de supervisi\u00f3n interna (watchdogs) pueden detectar y recobrar procesos suspendidos. Fabricantes como Microsoft han indicado que sus productos no se ven afectados en cliente final, y que intentos de abuso deber\u00edan poder bloquearse; sin embargo no todos los detalles son p\u00fablicos.<\/p>\n\n\n\n

Se\u00f1ales pr\u00e1cticas para detectar un intento<\/strong><\/p>\n\n\n\n