Microsoft non rilascerà un aggiornamento di sicurezza nonostante una società di ricerca sulla sicurezza informatica affermi di aver scoperto un bug nel API PsSetLoadImageNotifyRoutine quella sviluppatori di malware dannosi potrebbe usare per eludere il rilevamento di software antimalware di terze parti. La società di software non crede che il suddetto bug rappresenti alcun rischio per la sicurezza.
Un ricercatore di sicurezza presso enSilo, Omri Misgav, ha scoperto un "errore di programmazione" nell'interfaccia di basso livello PsSetLoadImageNotifyRoutine che può essere ingannata dagli hacker per consentire software dannoso per sfuggire agli antivirus di terze parti senza essere scoperti.
Quando funziona correttamente, l'API dovrebbe notificare i driver, inclusi quelli utilizzati da software antimalware di terze parti, quando un modulo software viene caricato in memoria. Gli antivirus possono quindi utilizzare l'indirizzo fornito dall'API per tracciare e scansionare i moduli prima del caricamento. Misgav e il suo team hanno scoperto che PsSetLoadImageNotifyRoutine non restituisce sempre l'indirizzo corretto.
La conseguenza? Gli hacker furbi possono usare la scappatoia per indirizzare erroneamente il software anti-malware e consentire software dannoso eseguire senza rilevamento. Microsoft afferma che i suoi ingegneri hanno esaminato le informazioni fornite da enSilo e hanno determinato che il presunto bug non rappresenta una minaccia alla sicurezza.
enSilo stesso non ha testato alcun antivirus di terze parti per dimostrare le sue paure, anche se afferma che non servirà un genio hacker per sfruttarlo bug nel kernel di Windows. Non è chiaro se Microsoft rilascerà una patch per correggere il bug negli aggiornamenti futuri o se è sempre stata a conoscenza del bug e ha messo in atto altre misure di sicurezza per fermare la minaccia.
L'API stessa non è nuova per il sistema operativo Windows. È stato scritto per la prima volta nel sistema operativo nella build del 2000 ed è stato mantenuto per tutte le versioni successive, incluso l'attuale Windows 10. Sembrerebbe troppo lungo perché un difetto del sistema operativo Windows non venga sfruttato dagli sviluppatori di malware.
Forse non ce n'è ancora stato violazione della sicurezza attraverso questo bug del kernel di Windows perché gli hacker non lo avevano ancora scoperto. Bene, ora lo sanno. E, poiché Microsoft non farà nulla per il bug, resta da vedere cosa farà la comunità di hacker sempre intraprendente di questa opportunità. Forse questo ci dirà se Microsoft ha ragione su questo bug che non si pone a minaccia alla sicurezza.
ARTICOLI CORRELATI CHE DEVI VERIFICARE
- Patch di martedì settembre 2017: scarica gli ultimi aggiornamenti di Windows
- L'aggiornamento KB3177358 per Windows 10 risolve otto falle di sicurezza in Microsoft Edge
- Correzione: "Eccezione modalità kernel non gestita M" su Windows 10
