Gli sviluppatori di Malware possono abusare di un errore di programmazione contenuto nel kernel di Windows per impedire ai software di sicurezza di identificare moduli dannosi che dovessero venire caricati durante il runtime. Il bug riguarda PsSetLoadImageNotifyRoutine, uno dei meccanismi low-level che alcuni software di sicurezza usano per individuare quando del codice che viene caricato nel kernel o nello user space.
Il problema è che un attaccante potrebbe sfruttare questo bug nel kernel per far si che PsSetLoadImageNotifyRoutine restituisca un nome del modulo non valido, consentendo all'attaccante di "far passare" un malware come una operazione legittima.
Il bug è presente in tutte le versioni di Windows rilasciate negli ultimi 17 anni
Questa problematica è emersa solo quest'anno, individuata da un ricercatore di enSilo che stava
studiando approfonditamente il kernel di Windows. Il ricercatore stesso afferma che sono riguardate tutte le versioni rilasciate a partire da Windows 2000 in poi, Windows 10 compreso.
studiando approfonditamente il kernel di Windows. Il ricercatore stesso afferma che sono riguardate tutte le versioni rilasciate a partire da Windows 2000 in poi, Windows 10 compreso.
Microsoft ha introdotto il meccanismo PsSetLoadImageNotifyRoutine come sistema per notificare agli sviluppatori driver appena registrati. Siccome il sistema può individuare anche quando viene caricata nella memoria virtuale una immagine PE, il meccanismo fu integrato con i software antivirus così da poter identificare alcuni tipi di operazioni dannose.
Per Microsoft questo bug non è un problema
Il problema principale è che, per ora, i software di sicurezza si basano su questo metodo per rilevare alcuni tipi di operazioni dannose. I ricercatori di enSilo hanno confermato ai redattori di Bleeping Computer:
"Non abbiamo testato nessun software di sicurezza in particolare, ma siamo consapevoli che vari vendor utilizzano questo meccanismo. Al momento non possiamo dire se e come questo bug possa interessare loro".
Gli stessi ricercatori confermano di aver contattato il Microsoft Security Response Center già ad inizio anno, ma da casa Microsoft non sembra che questo bug sia considerato un vero rischio per la sicurezza.
Per ulteriori dettagli tecnici, qui è possibile vedere i dettagli della ricerca di enSilo.
Fonte: bleepingcomputer.com
Fonte: bleepingcomputer.com
Nessun commento:
Posta un commento