Η Microsoft δεν θα εκδώσει μια ενημερωμένη έκδοση ασφαλείας παρά την ερευνητική εταιρεία για την ασφάλεια στον κυβερνοχώρο ισχυριζόμενος ότι ανακάλυψε ένα σφάλμα στο API PsSetLoadImageNotifyRoutine το οποίο θα μπορούσαν να χρησιμοποιήσουν κακόβουλοι προγραμματιστές κακόβουλου λογισμικού για να αποφύγουν την ανίχνευση από λογισμικό προστασίας από κακόβουλο λογισμικό από τρίτους. Η εταιρεία λογισμικού δεν πιστεύει ότι το εν λόγω σφάλμα θέτει σε κίνδυνο την ασφάλεια.

Ένας ερευνητής ασφάλειας στο enSilo, Omri Misgav, ανακάλυψε ένα «σφάλμα προγραμματισμού» στη διασύνδεση χαμηλού επιπέδου PsSetLoadImageNotifyRoutine που μπορεί να εξαπατηθεί από τους χάκερ για να επιτρέψει σε κακόβουλο λογισμικό να γλιστρήσει πέρα ​​από τα antivirus τρίτων τρίτων χωρίς ανίχνευση.

Όταν λειτουργεί σωστά, το API υποτίθεται ότι ειδοποιεί τα προγράμματα οδήγησης, περιλαμβανομένων εκείνων που χρησιμοποιούνται από λογισμικό προστασίας από κακόβουλο λογισμικό άλλου κατασκευαστή, όταν φορτώνεται μια μονάδα λογισμικού στη μνήμη. Τα προγράμματα προστασίας από ιούς μπορούν στη συνέχεια να χρησιμοποιήσουν τη διεύθυνση που παρέχεται από το API για να παρακολουθούν και να ανιχνεύουν ενότητες μπροστά από το χρόνο φόρτωσης. Ο Misgav και η ομάδα του ανακάλυψαν ότι το PsSetLoadImageNotifyRoutine δεν επιστρέφει πάντα τη σωστή διεύθυνση.

Η συνέπεια; Οι εκκεντρικοί χάκερ μπορούν να χρησιμοποιήσουν το παραθυράκι για να παραπλανήσουν το λογισμικό κατά του κακόβουλου λογισμικού και να επιτρέψουν την εκτέλεση κακόβουλου λογισμικού χωρίς ανίχνευση. Η Microsoft λέει ότι οι μηχανικοί της εξέτασαν τις πληροφορίες που έδωσε το enSilo και διαπίστωσαν ότι το υποτιθέμενο σφάλμα δεν αποτελεί απειλή για την ασφάλεια.

Το ίδιο το enSilo δεν έχει δοκιμάσει κανένα τρίτο αντι-ιό για να αποδείξει τους φόβους του, παρόλο που ισχυρίζεται ότι δεν θα χρειαστεί ένας hacker ιδιοφυΐας να εκμεταλλευτεί αυτό το σφάλμα στον πυρήνα των Windows. Δεν είναι σαφές εάν η Microsoft θα απελευθερώσει μια ενημερωμένη έκδοση κώδικα για να επιδιορθώσει το σφάλμα στις μελλοντικές ενημερώσεις ή αν έχει πάντα γνωστά το σφάλμα και έχει άλλες διασφαλίσεις για να σταματήσει την απειλή.

Το ίδιο το API δεν είναι καινούριο στο λειτουργικό σύστημα των Windows. Καταγράφηκε για πρώτη φορά στο λειτουργικό σύστημα της κατασκευής του 2000 και διατηρήθηκε για όλες τις επόμενες εκδόσεις, συμπεριλαμβανομένων των τρεχόντων Windows 10. Αυτό θα φαινόταν πολύ μεγάλο χρονικό διάστημα για την αποτυχία ενός ελαττώματος λειτουργικού συστήματος των Windows από τους προγραμματιστές κακόβουλου λογισμικού.

Ίσως δεν έχει υπάρξει ακόμη παραβίαση της ασφάλειας μέσω αυτού του σφάλματος πυρήνα των Windows, επειδή οι χάκερ δεν το είχαν ανακαλύψει ακόμα. Λοιπόν, τώρα το ξέρουν. Και, δεδομένου ότι η Microsoft δεν πρόκειται να κάνει τίποτα για το σφάλμα, μένει να δούμε τι θα κάνει η εντυπωσιακή κοινότητα των χάκερ για αυτή την ευκαιρία. Ίσως αυτό να μας πει εάν η Microsoft έχει δίκιο για το ότι αυτό το σφάλμα δεν δημιουργεί απειλή για την ασφάλεια.