Eine neue Umgehungstechnik, bekannt als "EDR-Freeze", ist aufgetaucht und verändert die Art und Weise, wie Angreifer die Endpunktsicherheit neutralisieren. Im Gegensatz zu traditionellen Methoden, die versuchen, Sicherheitssoftware zum Absturz zu bringen oder zu beenden (was oft Warnungen auslöst), setzt EDR-Freeze den Sicherheitsprozess vollständig aus und macht ihn "komatös", aber technisch lebendig. Dieser Angriff ist besonders gefährlich, da er vollständig im Benutzermodus arbeitet, was bedeutet, dass der Angreifer keinen anfälligen Treiber (BYOVD) mitbringen oder Kernel-Fehler ausnutzen muss. Stattdessen missbraucht er legitime Windows-Fehlerberichterstattungstools, um Endpoint Detection and Response (EDR)-Agenten einzufrieren, wodurch ein blinder Fleck entsteht, in dem bösartige Aktivitäten unentdeckt stattfinden können.