Обнаружен баг в ядре Windows, позволяющий маскировать вирусы под обычные процессы

Разработчики вредоносных программ могут воспользоваться ошибкой в ядре Windows, позволяющей скрыть от антивирусов присутствие вирусных модулей в библиотеке времени выполнения (runtime library).

В чём заключается ошибка?

Найденная уязвимость влияет на PsSetLoadImageNotifyRoutine — один из механизмов низкого уровня, который некоторые антивирусы используют для идентификации загруженного в ядро кода. Проблема в том, что злоумышленник может использовать эту дыру в ОС таким образом, что PsSetLoadImageNotifyRoutine вернёт недопустимое имя модуля, позволяя замаскировать вирус под законный процесс или службу.

Почти все версии Windows находятся под угрозой

Первым, кто обнаружил эту проблему, был Омри Мисгав, сотрудник enSilo, компании, которая занимается анализом ядра Windows. По его словам, опасность заражения касается всех версий Windows, вышедших после Windows 2000, включая самые последние Windows 10.

Microsoft не расценивает это как угрозу безопасности

Как сообщил Мисгав, его компания ещё не тестировала какое-либо конкретное ПО, отвечающее за безопасность. Им лишь известно, что многие из таких программ используют описанный механизм обнаружения, но на данный момент нельзя точно сказать, как именно влияет на их продукты ошибочная информация, возвращаемая PsSetLoadImageNotifyRoutine.