9 月 23 日，科技媒体 bleepingcomputer 发布最新研究报告称，安全研究员 TwoSevenOneThree（Zero Salarium）研发出创新工具 EDR-Freeze。该工具巧妙利用 Windows 错误报告系统（WER）的工作机制，能够在用户模式环境下实现终端检测响应（EDR）和安全软件进程的长效冻结。

值得关注的是，传统 EDR 规避技术通常需要依赖"自带漏洞驱动"（BYOVD）攻击手法。这种方式要求攻击者先获取系统内核级权限，不仅操作复杂且容易留下痕迹。相比之下，EDR-Freeze 采用更为隐蔽的非驱动方案，仅通过系统自带组件即可使安全软件陷入"休眠"状态。

EDR-Freeze 的运作原理十分精妙：借助具有受保护进程权限的 WerFaultSecure 组件，在调用 MiniDumpWriteDump API 生成内存快照时强制暂停所有线程。通过精心设计的竞态条件攻击序列，工具能够持续冻结 WerFaultSecure 进程，阻断安全软件恢复的通道。

研究人员已成功在 Windows 11 24H2 系统上验证该技术，Windows Defender 在这个攻击面前完全失去了防护能力。值得注意的是，这一利用链是基于系统功能的异常组合，属于典型的设计缺陷而非传统意义上的系统漏洞，使得常规安全机制更难检测。

目前可行的防御方案包括实时监控 WER 系统对敏感进程的操作。研究员 Steven Lim 已开发出专用工具，能够识别 WerFaultSecure 对 Microsoft Defender 等关键进程的异常调用。专家建议微软未来可通过限制 API 调用参数、实施进程白名单校验等机制来增强系统防护能力。