В ядре Windows была обнаружена уязвимость, пропускающая вирусы. Эксперты компании enSilo нашли ошибку непосредственно в ядре ОС. Данная проблема имеется фактически во всех версиях продукта от Microsoft, начиная с Windows 2000 и заканчивая актуальной версией Windows 10.
Найденная уязвимость выглядит как банальная ошибка в коде и касается PsSetLoadImageNotifyRoutine. Это низкоуровневый механизм, используемый рядом защитных решений как часть процесса идентификации кода, загружаемого в ядро либо user space. Первоначально PsSetLoadImageNotifyRoutine представлял собой механизм уведомления о загрузке новых драйверов, однако он может реализовать проверку PE image, погружаемого в виртуальную память, что привело к заинтересованности в этой процедуре производителей антивирусов.
Вследствие ошибки PsSetLoadImageNotifyRoutine способен передавать некорректное имя модуля, а это открывает возможности маскировать функционирование малвари под стандартную и полностью безопасную операцию, обманывая защитные программы. Эксперты отмечают, что конкретные программы не тестировались на возможность противодействовать ошибке.
При этом уведомление Microsoft об этой проблеме завершилось тем, что специалисты софтверного гиганта не посчитали данный момент уязвимостью, а значит никаких патчей для исправления выпускать не планирует. Как удалось выяснить, проблему все же устранили в Windows 7 SP1 разрядности x64, а также Windows 10 Anniversary Update (версия Redstone разрядности x64 и x86). Эксперты подчеркивают, что в Сети обнаружились и более ранние упоминания о проблеме, однако только теперь его удалось описать в полном объеме, а также с подробным разбором всех вероятных негативных последствий его существования.
Найденная уязвимость выглядит как банальная ошибка в коде и касается PsSetLoadImageNotifyRoutine. Это низкоуровневый механизм, используемый рядом защитных решений как часть процесса идентификации кода, загружаемого в ядро либо user space. Первоначально PsSetLoadImageNotifyRoutine представлял собой механизм уведомления о загрузке новых драйверов, однако он может реализовать проверку PE image, погружаемого в виртуальную память, что привело к заинтересованности в этой процедуре производителей антивирусов.
Вследствие ошибки PsSetLoadImageNotifyRoutine способен передавать некорректное имя модуля, а это открывает возможности маскировать функционирование малвари под стандартную и полностью безопасную операцию, обманывая защитные программы. Эксперты отмечают, что конкретные программы не тестировались на возможность противодействовать ошибке.
При этом уведомление Microsoft об этой проблеме завершилось тем, что специалисты софтверного гиганта не посчитали данный момент уязвимостью, а значит никаких патчей для исправления выпускать не планирует. Как удалось выяснить, проблему все же устранили в Windows 7 SP1 разрядности x64, а также Windows 10 Anniversary Update (версия Redstone разрядности x64 и x86). Эксперты подчеркивают, что в Сети обнаружились и более ранние упоминания о проблеме, однако только теперь его удалось описать в полном объеме, а также с подробным разбором всех вероятных негативных последствий его существования.
