Специалисты компании enSilo обнаружили ошибку в ядре Windows, которая препятствует нормальной работе защитных решений. Исследователи сообщают, что проблема присутствует практически во всех версиях ОС после Windows 2000 и до Windows 10 включительно.

По мнению исследователей, обнаруженный баг является следствием обычной ошибки в коде. Проблема затрагивает PsSetLoadImageNotifyRoutine, низкоуровневый механизм, который некоторые защитные решения используют для идентификации кода, загружаемого в пространство ядра или user space.

Изначально PsSetLoadImageNotifyRoutine был представлен, как решение, которое может уведомлять разработчиков о загрузке новых драйверов. Но так как механизм способен проверять PE image, загружаемые в виртуальную память, на него стали полагаться и производители антивирусов. Из-за ошибки PsSetLoadImageNotifyRoutine может возвращать некорректное имя модуля, что позволяет атакующему замаскировать работу малвари под обычную и легитимную операцию, обманув защитные решения.

Специалисты пишут, что они не тестировали конкретные защитные решения и не проверяли влияние бага на их работу, но эксперты убеждены, что баг в PsSetLoadImageNotifyRoutine не может не сказываться на использующих его антивирусах. Кроме того, когда исследователи рассказали о проблеме представителям Microsoft, те не сочли ее уязвимостью в безопасности, поэтому патчей для некоторых версий ОС можно не ждать. Впрочем, проблема все же была устранена в Windows XP SP3, Windows 7 SP1 x64, Windows 10 Anniversary Update (Redstone, x86 и x64).

Эксперты отмечают, что, судя по некоторым упоминаниям в онлайне, об этом  баге было известно и ранее, просто до текущего момента он не был описан полностью, во всех деталях и с учетом всех возможных последствий. С подробным докладом специалистов можно ознакомиться здесь.



2 комментария

  1. john_

    09.09.2017 at 00:08

    Майкрософт как всегда. Вторая новость за несколько дней, где у них не проблема в безопасности, а так и задумано. Не баг, а фича.

  2. Il

    09.09.2017 at 00:45

    Так ничего не понятно, уязвимы только не обновленные системы? Открыли, блин, Америку.

Оставить мнение