Microsoft няма да пусне актуализация на защитата, въпреки че фирма за изследвания в областта на кибер сигурността твърди, че е открила грешка в API на PsSetLoadImageNotifyRoutine че разработчици на зловреден софтуер може да използва, за да избегне откриването от софтуер на трети страни срещу злонамерен софтуер. Софтуерната компания не вярва, че споменатата грешка представлява риск за сигурността.
Изследовател на сигурността в enSilo, Омри Мисгав, откри „грешка в програмирането“ в интерфейса на ниско ниво PsSetLoadImageNotifyRoutine, която може да бъде измамена от хакери, за да позволи зловреден софтуер да се промъкне покрай антивируси на трети страни без откриване.
Когато работи правилно, API трябва да уведомява драйверите, включително използваните от софтуер на трети страни срещу злонамерен софтуер, когато софтуерен модул е зареден в паметта. След това антивирусите могат да използват адреса, предоставен от API, за проследяване и сканиране на модули преди времето за зареждане. Мисгав и неговият екип откриха, че PsSetLoadImageNotifyRoutine не винаги връща правилния адрес.
Последицата? Хитри хакери могат да използват вратичката, за да насочат погрешно анти-злонамерен софтуер и да разрешат зловреден софтуер да работи без откриване. Microsoft казва, че инженерите са разгледали информацията, предоставена от enSilo, и са решили, че предполагаемата грешка не представлява заплаха за сигурността.
Самият enSilo не е тествал антивирус на трета страна, за да докаже страховете си, въпреки че твърди, че няма да се нуждае от гениален хакер, който да използва това грешка в ядрото на Windows. Не е ясно дали Microsoft ще пусне кръпка за отстраняване на грешката при бъдещи актуализации или дали те винаги са знаели за грешката и имат ли други предпазни мерки, за да спрат заплахата.
Самият API не е нов за Windows OS. За първи път е записан в операционната система през 2000 г. и е запазен за всички следващи версии, включително текущата Windows 10. Това би изглеждало твърде дълго, за да може недостатък на Windows OS да остане неизползван от разработчиците на зловреден софтуер.
Може би все още не е имало нарушение на сигурността чрез тази грешка в ядрото на Windows, защото хакерите все още не са я открили. Е, сега те знаят. И тъй като Microsoft няма да направи нищо по отношение на грешката, тепърва ще се види какво ще предприеме винаги предприемчивата хакерска общност с тази възможност. Може би това ще ни каже дали Microsoft е прав за тази грешка, която не представлява заплаха за сигурността.
СВЪРЗАНИ АРТИКУЛИ, КОИТО ТРЯБВА ДА ПРОВЕРИТЕ
- Пач вторник септември 2017: Изтеглете най-новите актуализации на Windows
- Актуализацията KB3177358 за Windows 10 отстранява осем недостатъка в сигурността в Microsoft Edge
- Поправка: „Kernel Mode Exception Not Handled M“ в Windows 10
