A Microsoft nem fog kiadni egy biztonsági frissítést, annak ellenére, hogy egy kiberbiztonsági kutató cég azt állította, hogy egy hibát fedezett fel a PsSetLoadImageNotifyRoutine API-ban, amelyet a rosszindulatú rosszindulatú programok fejlesztői felhasználhattak arra, hogy megkerüljék a harmadik felek által készített rosszindulatú programok elleni észlelést. A szoftvergyártó vállalat nem gondolja, hogy az említett hiba biztonsági kockázatot jelent.

Az enSilo biztonsági kutatója, Omri Misgav felfedezte a „programozási hibát” az alacsony szintű PsSetLoadImageNotifyRoutine interfészben, amelyet a hackerek megtéveszthetnek, hogy a rosszindulatú szoftverek észlelés nélkül elcsúszhassanak harmadik fél antivírusai felett.

Helyes működés esetén az API-nak állítólag értesítenie kell az illesztőprogramokat, ideértve azokat is, amelyeket harmadik fél rosszindulatú szoftverek ellen használnak, amikor egy szoftvermodult a memóriába töltöttek. Az antivírusok ezután felhasználhatják az API által biztosított címet a modulok nyomon követéséhez és beolvasásához a betöltési idő előtt. Misgav és csapata felfedezte a PsSetLoadImageNotifyRoutine nem mindig a helyes címet.

A következmény? A ravasz hackerek a kiskapu segítségével rosszindulatú szoftvereket tévesen irányíthatnak, és lehetővé teszik a rosszindulatú szoftverek észlelés nélküli futtatását. A Microsoft szerint mérnökei megvizsgálták az enSilo által szolgáltatott információkat, és megállapították, hogy a feltételezett hiba nem jelent biztonsági veszélyt.

Maga az enSilo még nem tesztelte harmadik féltől származó antivírust a félelmeinek bizonyítására, annak ellenére, hogy állítása szerint nem fog egy zseniális hackert kihasználni ennek a hibának a Windows kernelében való kiaknázására. Nem egyértelmű, hogy a Microsoft kiad-e egy javítást a hiba kijavítására a jövőbeli frissítések során, vagy hogy mindig is tudtak-e a hibáról, és vannak-e egyéb biztosítékok a veszély fenyegetésére.

Maga az API nem új a Windows operációs rendszerben. Először az operációs rendszerbe írták a 2000-es verzióban, és minden későbbi verzióra megőrizték, beleértve a jelenlegi Windows 10-et is. Túl hosszúnak tűnik ahhoz, hogy a Windows operációs rendszer hibája kihasználatlan maradjon a rosszindulatú programok fejlesztőinek.

Talán még nem történt biztonsági rés ezen a Windows kernelhibán, mert a hackerek még nem fedezték fel. Nos, most már tudják. Mivel a Microsoft semmit sem fog tenni a hibával kapcsolatban, még csak látni kell, hogy az örökké vállalkozó hacker-közösség mit fog tenni ebből a lehetőségből. Talán ez megmutatja nekünk, hogy a Microsoftnak igaza van-e abban, hogy ez a hiba nem jelent biztonsági veszélyt.