Un bypass universel EDR a été découvert dans Windows 10, exploitant les mécanismes de surveillance des processus
Ce bypass permet à un processus malveillant de désactiver certains événements de sécurité, contournant ainsi les EDR.
Les EDR utilisent des techniques dans l’espace utilisateur et noyau pour la surveillance.
Le mécanisme ETW-Ti, crucial pour la surveillance, peut être partiellement désactivé par des processus avec privilèges spécifiques.
Cela permet à des programmes malveillants d’éviter la détection en désactivant la télémétrie avant d’agir.
Ces fonctions peuvent être par exemple PsIsProcessLoggingEnabled et EtwTiLogReadWriteVm, qui sont liées à la journalisation et à la surveillance des opérations de mémoire.
Microsoft est informé mais n’a pas modifié l’API sur Windows 10, probablement pour maintenir la compatibilité. Cela semble être fixé sous windows 11 cependant.