Windows-ytimen vika estää haittaohjelmien tunnistamisen

Windows-ytimessä on äskettäin havaittu vakava virhe. Virhe, jota haittaohjelmien luoja voi helposti käyttää väärin. Kyseinen virhe vaikuttaa PsSetLoadImageNotifyRoutine-sovellukseen. Se on yksi matalan tason mekanismeista, joita jotkut tietoturvaratkaisut käyttävät tunnistaakseen, milloin koodi on ladattu ytimeen.

Windows-ytimen vika estää haittaohjelmien tunnistamisen

Siksi hyökkääjä voi käyttää tätä virhettä aiheuttamalla PsSetLoadImageNotifyRoutine palauttamaan virheellisen moduulin nimen. Tämän avulla hakkeri voi peittää haittaohjelman ikään kuin se olisi normaalia toimintaa. Kyseinen virhe havaittiin aiemmin tänä vuonna, ja sen löytäneet tutkijat sanovat, että virhe vaikuttaa kaikkiin Windows-versioihin, jotka on julkaistu Windows 2000: n jälkeen.

Windows-ytimen kaatuminen

Ilmeisesti suoritetuissa kokeissa on nähty, että vika on selvinnyt kaikissa versioissa. Joten 17 vuoden kuluttua se on edelleen läsnä. Microsoft esitteli kerran PsSetLoadImageNotifyRoutine-ilmoitusmekanismin tapana ilmoittaa kehittäjille ohjelmallisesti. Koska tämä järjestelmä pystyi havaitsemaan kuvan lataamisen virtuaalimuistiin, päätettiin integroida se virustorjuntaohjelmaan haitallisten toimintojen havaitsemiseksi.

Suurin ongelma on, että tietoturvaohjelmisto luottaa tähän menetelmään haitallisten toimintojen havaitsemiseksi. Jotain, joka näyttää lisäävän tämän epäonnistumisen riskiä. Epäilemättä Microsoftin vakava virhe, joka on ratkaistava, koska tämä koskee kaikkia Windows-versioita.

Tällä hetkellä tähän epäonnistumiseen ei ole olemassa konkreettista ratkaisua. Itse asiassa Microsoft ei ole tarjonnut mitään reaktiota. Käyttäjille, joilla on erilaisia ​​Windows-versioita, suositus on tavallinen. Pidä tietokoneesi aina ajan tasalla ja suojattuna.