Microsoft nie wyda aktualizacji zabezpieczeń, mimo że firma badawcza zajmująca się bezpieczeństwem cybernetycznym twierdzi, że odkryła błąd w interfejsie API PsSetLoadImageNotifyRoutine, którego twórcy złośliwego oprogramowania mogliby uniknąć wykrycia przez oprogramowanie antywirusowe innych firm. Firma produkująca oprogramowanie nie uważa, że ​​wspomniany błąd stanowi jakiekolwiek zagrożenie bezpieczeństwa.

Badacz bezpieczeństwa w enSilo, Omri Misgav, odkrył „błąd programowania” w interfejsie niskopoziomowym PsSetLoadImageNotifyRoutine, który może zostać oszukany przez hakerów, aby umożliwić złośliwemu oprogramowaniu przechodzenie obok programów antywirusowych innych firm bez wykrycia.

Gdy działa poprawnie, interfejs API powinien powiadamiać sterowniki, w tym te używane przez oprogramowanie anty-malware innych firm, o załadowaniu modułu oprogramowania do pamięci. Programy antywirusowe mogą następnie wykorzystać adres podany przez API do śledzenia i skanowania modułów przed czasem ładowania. Misgav i jego zespół odkryli, że PsSetLoadImageNotifyRoutine nie zawsze zwraca poprawny adres.

Konsekwencja? Podstępni hakerzy mogą wykorzystać lukę w celu przekierowania oprogramowania antywirusowego i umożliwienia działania złośliwego oprogramowania bez wykrycia. Microsoft twierdzi, że jego inżynierowie sprawdzili informacje dostarczone przez enSilo i ustalili, że rzekomy błąd nie stanowi zagrożenia bezpieczeństwa.

enSilo sam nie przetestował żadnego antywirusa innej firmy, aby udowodnić swoje obawy, nawet jeśli twierdzi, że genialny haker nie wykorzysta tego błędu w jądrze systemu Windows. Nie jest jasne, czy Microsoft wyda łatkę, aby naprawić błąd w przyszłych aktualizacjach, czy też zawsze wiedzieli o błędzie i stosowali inne zabezpieczenia, aby zatrzymać zagrożenie.

Sam interfejs API nie jest nowy w systemie operacyjnym Windows. Został on po raz pierwszy zapisany w systemie operacyjnym w wersji 2000 i został zachowany dla wszystkich kolejnych wersji, w tym obecnego systemu Windows 10. Wydawałoby się to zbyt długo, aby wada systemu operacyjnego Windows nie została wykorzystana przez twórców szkodliwego oprogramowania.

Być może nie doszło jeszcze do naruszenia bezpieczeństwa przez ten błąd jądra systemu Windows, ponieważ hakerzy jeszcze go nie odkryli. Cóż, teraz wiedzą. A ponieważ Microsoft nie zamierza nic zrobić z błędem, okaże się, co ta przedsiębiorcza społeczność hakerów zrobi z tej okazji. Być może to powie nam, czy Microsoft ma rację, że ten błąd nie stanowi zagrożenia bezpieczeństwa.