Сбой в ядрото на Windows предотвратява идентифицирането на зловреден софтуер

Наскоро бе открита сериозна грешка в ядрото на Windows. Грешка, която може да бъде злоупотребена лесно от създателите на зловреден софтуер. Въпросната грешка засяга PsSetLoadImageNotifyRoutine. Това е един от механизмите на ниско ниво, който се използва от някои решения за защита, за да се идентифицира кода кодът е зареден в ядрото.

Сбой в ядрото на Windows предотвратява идентифицирането на зловреден софтуер

Следователно, нападател може да използва тази грешка, като накара PsSetLoadImageNotifyRoutine да върне невалидно име на модула. Това позволява на хакера да маскира зловредния софтуер, сякаш това е нормална операция. Въпросният бъг е забелязан по-рано тази година, а изследователи, които са го открили, казват, че грешката засяга всички версии на Windows, издадени след Windows 2000.

Срив на ядрото на Windows

Очевидно при проведените тестове се видя, че отказът е оцелял във всички версии. Така след 17 години все още присъства. Веднъж Microsoft въведе механизма за известяване PsSetLoadImageNotifyRoutine като начин за програмно уведомяване на разработчиците. Тъй като тази система може да открие дали изображението е заредено във виртуална памет, беше решено да го интегрира с антивирусния софтуер за откриване на злонамерени операции.

Основният проблем е, че софтуерът за сигурност разчита на този метод за откриване на някои злонамерени операции. Нещо, което изглежда повишава риска от този провал. Без съмнение сериозна грешка от страна на Microsoft, която трябва да бъде отстранена, тъй като всички версии на Windows са засегнати.

В момента няма конкретно решение на този провал. Всъщност Microsoft не предложи никаква реакция. За потребители с различни версии на Windows препоръката е обичайната. Винаги поддържайте компютъра си актуализиран и защитен.