Microsoft не буде випускати оновлення безпеки, незважаючи на те, що компанія з досліджень кібербезпеки стверджує, що виявила помилку в API PsSetLoadImageNotifyRoutine що зловмисні розробники шкідливих програм може уникнути виявлення за допомогою стороннє антивірусне програмне забезпечення. Компанія, що розробляє програмне забезпечення, не вважає, що згадана помилка створює будь-який ризик для безпеки.
Дослідник безпеки enSilo Омрі Місґав виявив „помилку програмування” в інтерфейсі низького рівня PsSetLoadImageNotifyRoutine, яку хакери можуть обдурити, щоб дозволити зловмисне програмне забезпечення пропустити сторонні антивіруси без виявлення.
Коли він працює належним чином, API повинен сповіщати драйвери, в тому числі використовувані стороннє антивірусне програмне забезпечення, коли програмний модуль завантажується в пам’ять. Потім антивіруси можуть використовувати адресу, надану API, для відстеження та сканування модулів до часу завантаження. Місгав та його команда виявили, що PsSetLoadImageNotifyRoutine не завжди повертає правильну адресу.
Наслідок? Хитрі хакери можуть використовувати лазівку, щоб неправильно скерувати антивірусне програмне забезпечення та дозволити зловмисне програмне забезпечення працювати без виявлення. Microsoft заявляє, що її інженери ознайомились з інформацією, наданою enSilo, і визначили, що передбачувана помилка не представляє загрози для безпеки.
enSilo сама не тестувала жодних сторонніх антивірусів, щоб довести свої побоювання, хоча і стверджує, що для використання цього не знадобиться геніальний хакер помилка в ядрі Windows. Незрозуміло, чи буде Microsoft випускати патч для виправлення помилки в майбутніх оновленнях, чи вони завжди знали про цю помилку та чи існують інші захисні засоби, щоб зупинити загрозу.
Сам API не є новим для ОС Windows. Вперше він був записаний в ОС у збірці 2000 року і зберігався для всіх наступних версій, включаючи поточну Windows 10. Це здавалося б занадто довгим, щоб недолік ОС Windows залишився невикористаним розробниками шкідливих програм.
Можливо, їх ще не було порушення безпеки через цю помилку ядра Windows, оскільки хакери ще не виявили її. Ну, тепер вони знають. І оскільки Microsoft не збирається нічого робити щодо цієї помилки, ще належить з’ясувати, що зробить ця можливість постійно заповзятлива хакерська спільнота. Можливо, це скаже нам, чи правий Microsoft щодо цієї помилки, яка не представляє себе загроза безпеці.
СТАТТІ, ЩО ПОВ'ЯЗАНІ З ВАМИ ПОТРЕБУВАТИ
- Виправити вівторок, вересень 2017 р.: Завантажте найновіші оновлення Windows
- Оновлення KB3177358 для Windows 10 усуває вісім недоліків безпеки в Microsoft Edge
- Виправлення: «Виняток режиму ядра не обробляється M» у Windows 10
