Microsoft ei julkaise tietoturvapäivitystä huolimatta siitä, että tietoturvatutkimusyritys väittää löytäneensä virheen PsSetLoadImageNotifyRoutine-sovellusliittymä että haittaohjelmien kehittäjät voitaisiin käyttää välttämään havaitsemista kolmannen osapuolen haittaohjelmien torjuntaohjelma. Ohjelmistoyritys ei usko, että mainittu virhe aiheuttaa mitään turvallisuusriskiä.
EnSilon tietoturvatutkija Omri Misgav löysi ”ohjelmointivirheen” matalan tason käyttöliittymästä PsSetLoadImageNotifyRoutine, jonka hakkerit voivat huijata sallimaan haittaohjelma liukastua kolmannen osapuolen antivirusten ohitse havaitsematta.
Kun se toimii oikein, API: n on tarkoitus ilmoittaa kuljettajille, myös käyttämille ohjaimille kolmannen osapuolen haittaohjelmien torjuntaohjelmisto, kun ohjelmistomoduuli ladataan muistiin. Virustentorjuntaohjelmat voivat sitten käyttää sovellusliittymän antamaa osoitetta moduulien seuraamiseen ja skannaamiseen ennen latausaikaa. Misgav ja hänen tiiminsä löysivät PsSetLoadImageNotifyRoutine ei aina palauta oikeaa osoitetta.
Seuraus? Kätevät hakkerit voivat käyttää porsaanreikää harhaanjohtamaan haittaohjelmien torjuntaohjelmat ja sallimaan haittaohjelma ajaa ilman tunnistusta. Microsoft sanoo, että insinöörit ovat tarkastelleet enSilon toimittamia tietoja ja todenneet, että oletettu virhe ei aiheuta turvallisuusuhkaa.
enSilo itsessään ei ole testannut minkään kolmannen osapuolen virustorjuntaohjelmaa pelkojensa todistamiseksi, vaikka se väittää, ettei sen hyödyntäminen vaadi nero-hakkereita vika Windowsin ytimessä. On epäselvää, aikooko Microsoft julkaista korjaustiedoston virheen korjaamiseksi tulevissa päivityksissä vai ovatko he aina tunteneet virheen ja onko muilla turvatoimilla uhan estämiseksi.
Itse sovellusliittymä ei ole uusi Windows-käyttöjärjestelmässä. Se kirjoitettiin ensin käyttöjärjestelmään vuoden 2000 koontiversiossa, ja se säilytettiin kaikissa myöhemmissä versioissa, mukaan lukien nykyinen Windows 10. Se tuntuu liian kauan, jotta haittaohjelmakehittäjät eivät käytä Windows-käyttöjärjestelmävirhettä.
Ehkä niitä ei ole vielä ollut turvallisuusrikkomus tämän Windows-ytimen virheen kautta, koska hakkerit eivät olleet vielä löytäneet sitä. No, nyt he tietävät. Ja koska Microsoft ei aio tehdä mitään virheen torjumiseksi, on vielä nähtävissä, mitä aina yritteliäs hakkeriyhteisö tekee tästä mahdollisuudesta. Ehkä se kertoo meille, onko Microsoft oikeassa siinä, että tämä virhe ei aiheuta turvallisuusuhka.
Aiheeseen liittyvät artikkelit, jotka sinun on tarkistettava
- Patch tiistai syyskuu 2017: Lataa uusimmat Windows-päivitykset
- Windows 10: n päivitys KB3177358 korjaa kahdeksan Microsoft Edgen suojausvirhettä
- Korjaus: "Kernel Mode Exception Not Handled M" Windows 10: ssä
