Ошибки, безусловно, доставляют неудобства пользователям, так как злоумышленники могут получить доступ к системе. На самом деле, ошибка больше похожа на незапертую заднюю дверь. Недавно было обнаружено, что разработчики вредоносных программ смогут использовать программную ошибку в ядре Windows и остаться незамеченными. Вредоносные модули будут загружены во время выполнения, и даже они могут успешно избежать обнаружения.

Эта ошибка, по-видимому, затрагивает PsSetLoadImageNotifyRoutine, один из механизмов, используемых решениями безопасности для определения, был ли загружен код в ядро ​​или пространство пользователя. Злоумышленники могут использовать эту ошибку таким образом, что PsSetLoadImageNotifyRoutine выдает недопустимое имя модуля, и, таким образом, злоумышленник замаскирует вредоносное ПО как законную операцию.

Однако хуже всего то, что эта ошибка затрагивает все версии Windows, выпущенные начиная с Windows 2000. Однако эта проблема обнаружилась только тогда, когда Омри Мисгав, исследователь по безопасности в enSilo, обнаружил ее при анализе кода ядра Windows. Ошибка также была унаследована Windows 10.

В этот момент мы были уверены, что выяснили, в чем причина проблемы, но что ускользнуло от нас, так это то, как эта ошибка все еще существует? И нет никакого очевидного решения для этого?

PsSetLoadImageNotifyRoutine был введен в качестве механизма уведомления для уведомления разработчиков приложений о новых зарегистрированных драйверах. Кроме того, этот механизм также был интегрирован с антивирусным программным обеспечением, позволяющим обнаруживать вредоносные программы, которые вносили изменения в драйверы.

Microsoft, с другой стороны, не рассматривает это как потенциальную проблему безопасности, и, по мнению исследователей, эта ошибка была несколько известна. Поскольку его первопричина и другие подробности до сих пор недоступны, очень сложно обосновать их претензии.