Microsoft не будет выпускать обновление для системы безопасности, несмотря на то, что исследовательская компания по кибербезопасности утверждает, что обнаружила ошибку в PsSetLoadImageNotifyRoutine API что разработчики вредоносных вредоносных программ может использоваться для уклонения от обнаружения стороннее антивирусное программное обеспечение. Компания-производитель программного обеспечения не считает, что указанная ошибка представляет угрозу безопасности.
Омри Мисгав, исследователь безопасности в enSilo, обнаружил «программную ошибку» в низкоуровневом интерфейсе. PsSetLoadImageNotifyRoutine, который хакеры могут обмануть, чтобы вредоносное программное обеспечение чтобы незаметно проскользнуть мимо сторонних антивирусов.
Когда он работает правильно, API должен уведомлять драйверы, в том числе используемые стороннее антивирусное программное обеспечение, когда программный модуль загружен в память. Затем антивирусы могут использовать адрес, предоставленный API, для отслеживания и сканирования модулей перед загрузкой. Мисгав и его команда обнаружили, что PsSetLoadImageNotifyRoutine не всегда возвращает правильный адрес.
Последствия? Коварные хакеры могут использовать лазейку для неправильного использования антивирусного программного обеспечения и вредоносное программное обеспечение работать без обнаружения. Microsoft утверждает, что ее инженеры изучили информацию, предоставленную enSilo, и определили, что предполагаемая ошибка не представляет угрозы безопасности.
Сам enSilo не тестировал сторонние антивирусы, чтобы доказать свои опасения, хотя и утверждает, что не потребуется гениального хакера, чтобы воспользоваться этим. ошибка в ядре Windows. Неясно, будет ли Microsoft выпускать патч для исправления ошибки в будущих обновлениях или всегда ли они знали об ошибке и применяли другие меры безопасности, чтобы остановить угрозу.
Сам API не является новым для ОС Windows. Впервые он был записан в ОС в сборке 2000 года и сохранен для всех последующих версий, включая текущую Windows 10. Это может показаться слишком долгим, чтобы уязвимость ОС Windows оставалась неиспользованной разработчиками вредоносных программ.
Может, еще не было Нарушение безопасности через эту ошибку ядра Windows, потому что хакеры еще не обнаружили ее. Что ж, теперь они знают. И, поскольку Microsoft не собирается ничего делать с ошибкой, еще неизвестно, что предприимчивое хакерское сообщество воспользуется этой возможностью. Возможно, это покажет нам, права ли Microsoft в том, что эта ошибка не создает угроза безопасности.
СВЯЗАННЫЕ СТАТЬИ, КОТОРЫЕ НЕОБХОДИМО ВЫБРАТЬ
- Патч вторник, сентябрь 2017 г.: Загрузите последние обновления Windows
- Обновление KB3177358 для Windows 10 устраняет восемь недостатков безопасности в Microsoft Edge
- Исправлено: «Исключение режима ядра не обрабатывается M» в Windows 10
