Помилка в ядрі Windows запобігає виявленню зловмисного програмного забезпечення

Нещодавно в ядрі Windows виявлена серйозна помилка. Помилка, яку легко зловживають творці шкідливих програм. Помилка, про яку йдеться, впливає на PsSetLoadImageNotifyRoutine. Це один із механізмів низького рівня, який використовується деякими рішеннями безпеки для визначення часу завантаження коду в ядро.

Помилка в ядрі Windows запобігає виявленню зловмисного програмного забезпечення

Тому зловмисник може використовувати цю помилку, викликаючи PsSetLoadImageNotifyRoutine, щоб повернути недійсне ім'я модуля. Це дозволяє хакеру замаскувати шкідливе програмне забезпечення, як якщо б це була звичайна робота. Про цю помилку було помічено на початку цього року, і дослідники, які виявили її, кажуть, що помилка впливає на всі версії Windows, випущені з Windows 2000.

Збій ядра Windows

Мабуть, у проведених тестах було видно, що збій пережив усі версії. Тож після 17 років він все ще присутній. Microsoft одного разу представила механізм сповіщень PsSetLoadImageNotifyRutine як спосіб програмного сповіщення розробників. Оскільки ця система могла виявити, чи завантажується зображення у віртуальну пам'ять, було вирішено інтегрувати його до антивірусного програмного забезпечення для виявлення шкідливих операцій.

Основна проблема полягає в тому, що програмне забезпечення безпеки покладається на цей метод для виявлення деяких шкідливих операцій. Щось, здається, збільшує ризик цієї невдачі. Без сумніву, серйозна помилка з боку Microsoft, яку потрібно вирішити, оскільки всі версії Windows зачіпають.

Наразі конкретного рішення цієї невдачі немає. Фактично, Microsoft не запропонувала ніякої реакції. Для користувачів з різними версіями Windows рекомендація є звичайною. Завжди тримайте комп'ютер оновленим та захищеним.