Microsoft nie wyda aktualizacji zabezpieczeń, mimo że firma badająca cyberbezpieczeństwo twierdzi, że wykryła błąd w PsSetLoadImageNotifyRutine API że złośliwi programiści złośliwego oprogramowania może użyć do uniknięcia wykrycia przez oprogramowanie antymalware innych firm. Producent oprogramowania uważa, że ten błąd nie stanowi żadnego zagrożenia dla bezpieczeństwa. .
Badacz bezpieczeństwa w enSilo, Omri Misgav, odkrył „błąd programowania” w interfejsie niskiego poziomu PsSetLoadImageNotifyRoutine, który może zostać oszukany przez hakerów, aby zezwolić złośliwe oprogramowanie prześlizgnąć się obok antywirusów innych firm bez wykrycia.
Gdy działa poprawnie, API ma powiadamiać sterowniki, w tym te używane przez oprogramowanie antymalware innych firm, gdy moduł oprogramowania jest ładowany do pamięci. Programy antywirusowe mogą następnie używać adresu podanego przez interfejs API do śledzenia i skanowania modułów przed czasem ładowania. Misgav i jego zespół odkryli, że PsSetLoadImageNotifyRoutine nie zawsze zwraca poprawny adres.
Konsekwencja? Podstępni hakerzy mogą wykorzystać tę lukę, aby zmylić oprogramowanie chroniące przed złośliwym oprogramowaniem i zezwolić złośliwe oprogramowanie działać bez wykrycia. Microsoft twierdzi, że jego inżynierowie przyjrzeli się informacjom dostarczonym przez enSilo i ustalili, że rzekomy błąd nie stanowi zagrożenia dla bezpieczeństwa.
Firma enSilo nie przetestowała żadnego antywirusa innej firmy, aby udowodnić swoje obawy, mimo że twierdzi, że nie będzie wymagał genialnego hakera, aby to wykorzystać błąd w jądrze Windows. Nie jest jasne, czy Microsoft wyda łatkę, aby naprawić błąd w przyszłych aktualizacjach, czy też zawsze wiedział o błędzie i posiada inne zabezpieczenia, aby powstrzymać zagrożenie.
Sam interfejs API nie jest nowy w systemie operacyjnym Windows. Został po raz pierwszy napisany w systemie operacyjnym w kompilacji 2000 i został zachowany dla wszystkich kolejnych wersji, w tym bieżącego systemu Windows 10. Wydawałoby się, że to zbyt długo, aby luka w systemie Windows nie została wykorzystana przez twórców złośliwego oprogramowania.
Może jeszcze nie było naruszenie bezpieczeństwa przez ten błąd jądra systemu Windows, ponieważ hakerzy jeszcze go nie odkryli. Cóż, teraz już wiedzą. A ponieważ Microsoft nie zamierza nic zrobić z tym błędem, okaże się, co wiecznie przedsiębiorcza społeczność hakerów zrobi z tej okazji. Być może to nam powie, czy Microsoft ma rację, że ten błąd nie stanowi zagrożenie bezpieczeństwa.
POKREWNE ARTYKUŁY, KTÓRE MUSISZ SPRAWDZIĆ
- Patch wtorek wrzesień 2017: Pobierz najnowsze aktualizacje systemu Windows
- Aktualizacja KB3177358 dla Windows 10 rozwiązuje osiem luk bezpieczeństwa w Microsoft Edge
- Poprawka: „Wyjątek trybu jądra nie jest obsługiwany M” w systemie Windows 10
