Microsoft nu va lansa o actualizare de securitate, în ciuda unei firme de cercetare în domeniul securității cibernetice care susține că a descoperit o eroare în API-ul PsSetLoadImageNotifyRoutine pe care dezvoltatorii malware dăunători ar putea-o folosi pentru a sustrage detectarea de către software-ul anti-malware al unei terțe părți. Compania de software nu consideră că respectivul bug prezintă un risc de securitate.

Un cercetător de securitate de la EnSilo, Omri Misgav, a descoperit o „eroare de programare” în interfața de nivel scăzut PsSetLoadImageNotifyRoutine care poate fi păcălit de hackeri pentru a permite software-ului rău să alunece peste antivirusurile terțelor părți fără să fie detectate.

Când funcționează corect, se presupune că API-ul notifică driverele, inclusiv cele utilizate de software-ul anti-malware terț, atunci când un modul software este încărcat în memorie. Antivirusurile pot utiliza apoi adresa furnizată de API pentru a urmări și scana modulele înainte de timpul de încărcare. Misgav și echipa sa au descoperit că PsSetLoadImageNotifyRoutine nu întoarce întotdeauna adresa corectă.

Consecința? Hackerii pricepuți pot folosi lacunele pentru a direcționa greșit software-ul anti-malware și permite rularea software-ului rău intenționat fără detectare. Microsoft spune că inginerii săi au analizat informațiile furnizate de enSilo și au stabilit că presupusul bug nu prezintă o amenințare la adresa securității.

enSilo însuși nu a testat niciun antivirus terț pentru a-și demonstra temerile, chiar dacă susține că nu va fi nevoie de un hacker geniu care să exploateze acest bug în kernel-ul Windows. Nu este clar dacă Microsoft va lansa o corecție pentru a remedia erorile în actualizările viitoare sau dacă au știut întotdeauna despre eroare și dacă au alte garanții pentru a opri amenințarea.

API-ul în sine nu este nou pentru sistemul de operare Windows. Acesta a fost scris pentru prima dată în sistem de operare în 2000 și a fost păstrat pentru toate versiunile ulterioare, inclusiv Windows 10. Actual. Acest lucru ar părea prea mult pentru ca un defect de sistem de operare Windows să nu fie exploatat de dezvoltatorii de malware.

Poate că nu a existat încă nicio încălcare a securității prin acest bug al kernel-ului Windows, deoarece hackerii nu au descoperit-o încă. Ei bine, acum știu. Și, din moment ce Microsoft nu va face nimic în legătură cu eroarea, rămâne de văzut ce va face comunitatea de hackeri întreprinzător din această oportunitate. Poate că asta ne va spune dacă Microsoft are dreptate că acest bug nu prezintă o amenințare la adresa securității.