Microsoft ne publiera pas de mise à jour de sécurité malgré une société de recherche en cybersécurité affirmant avoir découvert un bogue dans le API PsSetLoadImageNotifyRoutine cette développeurs de logiciels malveillants pourrait utiliser pour échapper à la détection en logiciel anti-malware tiers. La société de logiciels ne pense pas que ledit bogue pose un quelconque risque pour la sécurité.
Un chercheur en sécurité chez enSilo, Omri Misgav, a découvert une "erreur de programmation" dans l'interface de bas niveau PsSetLoadImageNotifyRoutine qui peut être trompée par les pirates pour permettre logiciel malveillant passer devant les antivirus tiers sans détection.
Lorsqu'elle fonctionne correctement, l'API est censée notifier les pilotes, y compris ceux utilisés par logiciel anti-malware tiers, lorsqu'un module logiciel est chargé en mémoire. Les antivirus peuvent ensuite utiliser l'adresse fournie par l'API pour suivre et analyser les modules avant le chargement. Misgav et son équipe ont découvert que PsSetLoadImageNotifyRoutine ne renvoie pas toujours la bonne adresse.
La conséquence? Les hackers astucieux peuvent utiliser la faille pour détourner le logiciel anti-malware et permettre logiciel malveillant fonctionner sans détection. Microsoft affirme que ses ingénieurs ont examiné les informations fournies par enSilo et déterminé que le bogue supposé ne présente pas de menace pour la sécurité.
enSilo lui-même n'a testé aucun antivirus tiers pour prouver ses craintes, même s'il prétend qu'il ne faudra pas un hacker de génie pour exploiter cela bogue dans le noyau Windows. On ne sait pas si Microsoft publiera un correctif pour corriger le bogue dans les futures mises à jour ou s'il a toujours été au courant du bogue et a mis en place d'autres mesures de protection pour arrêter la menace.
L'API elle-même n'est pas nouvelle pour le système d'exploitation Windows. Il a été écrit pour la première fois dans le système d'exploitation dans la version 2000 et a été conservé pour toutes les versions ultérieures, y compris l'actuel Windows 10. Cela semblerait trop long pour qu'une faille du système d'exploitation Windows ne soit pas exploitée par les développeurs de logiciels malveillants.
Peut-être qu'il n'y en a pas encore eu violation de la sécurité à travers ce bogue du noyau Windows car les pirates ne l'avaient pas encore découvert. Eh bien, maintenant ils savent. Et, puisque Microsoft ne fera rien contre le bogue, il reste à voir ce que la communauté de hackers toujours entreprenante fera de cette opportunité. Peut-être que cela nous dira si Microsoft a raison sur ce bug qui ne pose pas de problème menace pour la sécurité.
ARTICLES CONNEXES QUE VOUS DEVEZ VÉRIFIER
- Patch Tuesday de septembre 2017: Téléchargez les dernières mises à jour de Windows
- La mise à jour KB3177358 pour Windows 10 résout huit failles de sécurité dans Microsoft Edge
- Correctif: « Exception du mode noyau non gérée M » sur Windows 10
