Microsoft frigiver ikke en sikkerhedsopdatering på trods af et cybersikkerhedsforskningsfirma, der hævder, at det opdagede en fejl i PsSetLoadImageNotifyRoutine API at ondsindede malwareudviklere kunne bruge til at undgå afsløring ved tredjeparts anti-malware software. Softwarefirmaet mener ikke, at den nævnte fejl udgør nogen sikkerhedsrisiko.
En sikkerhedsforsker hos enSilo, Omri Misgav, opdagede en 'programmeringsfejl' i grænsefladen på lavt niveau PsSetLoadImageNotifyRoutine, som hackere kan narre for at tillade ondsindet software at glide forbi antivirus fra tredjepart uden afsløring.
Når det fungerer korrekt, skal API'en underrette drivere, inklusive dem der bruges af tredjeparts anti-malware software, når et softwaremodul indlæses i hukommelsen. Antivirus kan derefter bruge adressen, der leveres af API'en, til at spore og scanne moduler inden indlæsningstiden. Misgav og hans team opdagede PsSetLoadImageNotifyRoutine returnerer ikke altid den korrekte adresse.
Konsekvensen? Crafty hackere kan bruge smuthullet til at forkorte anti-malware-software og tillade det
ondsindet software at køre uden afsløring. Microsoft siger, at dets ingeniører har set på de oplysninger, der er leveret af enSilo, og bestemt, at den formodede fejl ikke udgør en sikkerhedstrussel.enSilo selv har ikke testet noget tredjeparts antivirus for at bevise sin frygt, selvom det hævder, at det ikke tager en geni-hacker at udnytte dette fejl i Windows-kernen. Det er uklart, om Microsoft frigiver en patch til at rette fejlen i fremtidige opdateringer, eller om de altid har kendt til fejlen og har andre sikkerhedsforanstaltninger for at stoppe truslen.
Selve API'et er ikke nyt i Windows OS. Det blev først skrevet i OS i 2000-bygningen og blev bibeholdt i alle efterfølgende versioner, inklusive den nuværende Windows 10. Det ser ud til at være for længe, før en Windows OS-fejl ikke bliver udnyttet af malwareudviklere.
Måske har der endnu ikke været nogen sikkerhedsbrist gennem denne Windows-kernefejl, fordi hackere endnu ikke havde opdaget den. Nå, nu ved de det. Og da Microsoft ikke vil gøre noget ved fejlen, er det stadig at se, hvad det evigt initiativrige hackersamfund vil gøre af denne mulighed. Måske vil det fortælle os, om Microsoft har ret i, at denne fejl ikke udgør en sikkerhedstrussel.
RELATEREDE ARTIKLER, DU SKAL KONTROLLERE
- Patch tirsdag september 2017: Download de nyeste Windows-opdateringer
- Opdatering KB3177358 til Windows 10 løser otte sikkerhedsfejl i Microsoft Edge
- Fix: "Kernel Mode Exception Not Handled M" på Windows 10
