En ny undvikandeteknik kallad "EDR-Freeze" har dykt upp och förändrar hur angripare neutraliserar endpoint-säkerheten. Till skillnad från traditionella metoder som försöker krascha eller avsluta säkerhetsprogramvara (som ofta utlöser varningar), pausar EDR-Freeze säkerhetsprocessen helt, vilket gör den "komatös" men tekniskt sett levande. Denna attack är särskilt farlig eftersom den fungerar helt i användarläge, vilket innebär att angriparen inte behöver ta med en sårbar drivrutin (BYOVD) eller utnyttja kärnnivåbrister. Istället missbrukar den legitima Windows-felrapporteringsverktyg för att frysa Endpoint Detection and Response (EDR)-agenter, vilket skapar en blind fläck där skadlig aktivitet kan ske oupptäckt.