Process Preluding: Injeção de Processos Filhos Bypassa Segurança no Windows

Muitos produtos de segurança no Windows 10 e 11 utilizam kernel Event Tracing for Windows (ETW) hooks para monitorar a criação de processos e serem notificados sobre atividades potencialmente maliciosas. No entanto, um atacante pode contornar essas verificações explorando uma race condition entre a conclusão da configuração do executive process object pelo kernel e a invocação dos process-creation callbacks. Além disso, atacantes podem empregar legacy APIs para a criação de processos, as quais não acionam os process-creation callbacks, permitindo a execução de código não monitorado.