Microsoft не будет выпускать обновление для системы безопасности, несмотря на то, что исследовательская фирма по кибербезопасности утверждает, что обнаружила ошибку в API PsSetLoadImageNotifyRoutine, которую разработчики вредоносных программ могли использовать, чтобы избежать обнаружения сторонними антивирусными программами. Компания-разработчик программного обеспечения не считает, что указанная ошибка представляет какую-либо угрозу безопасности.

Исследователь безопасности в enSilo Омри Мисгав обнаружил «программную ошибку» в низкоуровневом интерфейсе PsSetLoadImageNotifyRoutine, которую злоумышленники могут обмануть, чтобы позволить вредоносным программам проскользнуть мимо сторонних антивирусов без обнаружения.

При правильной работе API-интерфейс должен уведомлять драйверы, в том числе используемые сторонними антивирусными программами, когда программный модуль загружается в память. Затем антивирусы могут использовать адрес, предоставленный API, для отслеживания и сканирования модулей до начала загрузки. Мисгав и его команда обнаружили, что PsSetLoadImageNotifyRoutine не всегда возвращает правильный адрес.

Следствие? Лукавые хакеры могут использовать лазейку, чтобы дезориентировать антивирусное программное обеспечение и позволить вредоносному программному обеспечению работать без обнаружения. Microsoft утверждает, что ее инженеры изучили информацию, предоставленную enSilo, и определили, что предполагаемая ошибка не представляет угрозы безопасности.

Компания enSilo сама не проверяла ни одного стороннего антивируса, чтобы доказать свои опасения, хотя и заявляет, что для использования этой ошибки в ядре Windows не понадобится гениальный хакер. Неясно, выпустит ли Microsoft исправление для исправления ошибки в будущих обновлениях, или они всегда знали об ошибке и имеют другие меры безопасности, чтобы остановить угрозу.

Сам API не является новым для ОС Windows. Впервые он был записан в ОС в сборке 2000 года и был сохранен для всех последующих версий, включая текущую Windows 10. Это может показаться слишком долгим, чтобы недостатки ОС Windows не могли быть использованы разработчиками вредоносных программ.

Возможно, еще не было какого-либо нарушения безопасности из-за этой ошибки ядра Windows, потому что хакеры еще не обнаружили ее. Ну, теперь они знают. И, поскольку Microsoft не собирается ничего делать с этой ошибкой, еще неизвестно, что когда-либо предприимчивое хакерское сообщество сделает с этой возможностью. Возможно, это скажет нам, если Microsoft права в отношении этой ошибки, не представляющей угрозы безопасности.