Nowo wykryty błąd w jądrze systemu Windows pozwala na oszukanie zabezpieczeń przez złośliwe oprogramowanie. Błąd dotyczy jednego z niskopoziomowych mechanizmów wykorzystywanych w rozwiązaniach dla cyberbezpieczeństwa.
Zaatakowany został niskopoziomowy mechanizm PsSetLoadImageNotifyRoutine, stosowany w rozwiązaniach dla cyberbezpieczeństwa, które mają identyfikować kod ładowany do kernela. W wyniku nadużycia ze strony hakerów, PsSetLoadImageNotifyRoutine zwraca nieprawidłową wartość, pozwalając przestępcom na ukrycie złośliwego oprogramowania pod pozorem całkowicie wiarygodnej operacji.
Opisywany błąd dotyczy wszystkich wersji systemu Windows wydanych w ostatnich 17 latach. Testy badaczy z firmy enSilo dowiodły, że błąd programistyczny występuje nawet w najbardziej aktualnych wersjach Windowsa 10.
Microsoft wprowadził mechanizm PsSetLoadImageNotifyRoutine po to, by móc informować programistów o nowo zarejestrowanych sterownikach. Mechanizm został również zintegrowany z oprogramowaniem antywirusowym, by wykrywać niektóre typy złośliwych operacji.
Obecnie większość oprogramowania mającego wzmacniać cyberbezpieczeństwo polega na tym mechanizmie w procesie wykrywania złośliwego oprogramowania. "Skontaktowaliśmy się z firmą Microsoft w celu poinformowania o tej sprawie na początku bieżącego roku" - powiedział Omri Misgav, jeden z badaczy pracujących dla enSilo. "Nie uznali tego za problem dotyczący cyberbezpieczeństwa". Misgav wskazał również, że problem był znany od dawna, ale to pierwszy raz, kiedy został tak szczegółowo opisany.
KOMENTARZE (0)
Do artykułu: Windows ma poważny błąd dot. cyberbezpieczeństwa