Обнаружен баг в ядре Windows, позволяющий маскировать вирусы под обычные процессы

Разработчики вредоносных программ могут воспользоваться ошибкой в ядре Windows, позволяющей скрыть от антивирусов присутствие вирусных модулей в библиотеке времени выполнения (runtime library).

В чём заключается ошибка?

Найденная уязвимость влияет на PsSetLoadImageNotifyRoutine — один из механизмов низкого уровня, который некоторые антивирусы используют для идентификации загруженного в ядро кода. Проблема в том, что злоумышленник может использовать эту дыру в ОС таким образом, что PsSetLoadImageNotifyRoutine вернёт недопустимое имя модуля, позволяя замаскировать вирус под законный процесс или службу.

Почти все версии Windows находятся под угрозой

Первым, кто обнаружил эту проблему, был Омри Мисгав, сотрудник enSilo, компании, которая занимается анализом ядра Windows. По его словам, опасность заражения касается всех версий Windows, вышедших после Windows 2000, включая самые последние Windows 10.

Microsoft не расценивает это как угрозу безопасности

Как сообщил Мисгав, его компания ещё не тестировала какое-либо конкретное ПО, отвечающее за безопасность. Им лишь известно, что многие из таких программ используют описанный механизм обнаружения, но на данный момент нельзя точно сказать, как именно влияет на их продукты ошибочная информация, возвращаемая PsSetLoadImageNotifyRoutine.

Мы также контактировали с центром обеспечения безопасности Microsoft по поводу обнаруженной лазейки в их ядре, но они не считают это проблемой безопасности их ОС. Некоторые данные говорят о том, что подобная ошибка уже давно известна, но насколько мы можем знать, её первопричина и возможные последствия не были до сих пор никем описаны.