Microsoft няма да пуска актуализация на защитата, въпреки че фирмата за проучване на киберсигурността твърди, че е открила грешка в API на PsSetLoadImageNotifyRoutine, който разработчиците на злонамерен зловреден софтуер биха могли да използват, за да избегнат откриването от анти-зловреден софтуер на трети страни. Софтуерната компания не вярва, че въпросният бъг представлява риск за сигурността.

Изследовател по сигурността в enSilo, Омри Мисгав, откри „грешка в програмирането“ в интерфейса на ниско ниво PsSetLoadImageNotifyRoutine, който може да бъде подмамен от хакери, за да позволи на злонамерения софтуер да се промъкне покрай антивирусите на трети страни без откриване.

Когато работи правилно, API трябва да уведомява драйвери, включително тези, използвани от софтуер за защита на зловреден софтуер от трети страни, когато софтуерен модул се зареди в паметта. След това антивирусите могат да използват адреса, предоставен от API за проследяване и сканиране на модули преди времето за зареждане. Мисгав и неговият екип откриха PsSetLoadImageNotifyRoutine не винаги връща правилния адрес.

Последицата? Хитрите хакери могат да използват вратичката за неправилно насочване на анти-зловреден софтуер и да позволят на злонамерения софтуер да работи без откриване. Microsoft казва, че нейните инженери са разгледали информацията, предоставена от enSilo и са установили, че предполагаемата грешка не представлява заплаха за сигурността.

bg СамиятSSilo не е тествал нито един антивирус на трета страна, за да докаже страховете си, въпреки че твърди, че няма да е необходим гениален хакер, който да използва тази грешка в ядрото на Windows. Не е ясно дали Microsoft ще пусне патч, за да отстрани грешката в бъдещите актуализации или дали те винаги са знаели за грешката и имат ли други предпазни мерки, за да спрат заплахата.

Самият API не е нов за Windows. За първи път той е написан в OS през 2000 г. и е запазен за всички следващи версии, включително текущата Windows 10. Това би изглеждало твърде дълго, за да може недостатъкът на Windows OS да се използва неизползван от разработчиците на зловреден софтуер.

Може би все още не е имало нарушение на сигурността чрез тази грешка в ядрото на Windows, защото хакерите още не са я открили. Е, сега знаят. И тъй като Microsoft няма да направи нищо относно грешката, остава да видим какво ще направи някога предприемчивата хакерска общност от тази възможност. Може би това ще ни каже дали Microsoft е прав за този бъг, който не представлява заплаха за сигурността.