Microsoft, PsSetLoadImageNotifyRoutine API'sinde, kötü amaçlı kötü amaçlı yazılım geliştiricilerin üçüncü taraf kötü amaçlı yazılımdan koruma yazılımı tarafından algılanmaktan kaçınmak için kullanabileceğini iddia ettiği bir siber güvenlik araştırmasına rağmen bir güvenlik güncelleştirmesi yayınlamayacak. Yazılım şirketi, söz konusu hatanın herhangi bir güvenlik riski oluşturduğuna inanmıyor.

EnSilo'daki bir güvenlik araştırmacısı Omri Misgav, düşük seviyeli PsSetLoadImageNotifyRoutine arayüzünde, bilgisayar korsanları tarafından kötü amaçlı yazılımın üçüncü taraf antivirüslerini algılamadan geçmesine izin vermesi için kandırılabilecek bir 'programlama hatası' keşfetti.

Doğru çalıştığında, bir yazılım modülü belleğe yüklendiğinde, API'nin üçüncü taraf kötü amaçlı yazılımdan koruma yazılımı tarafından kullanılanlar da dahil olmak üzere sürücüleri bilgilendirmesi gerekir. Antivirüsler daha sonra yükleme süresinden önce modülleri izlemek ve taramak için API tarafından sağlanan adresi kullanabilir. Misgav ve ekibi PsSetLoadImageNotifyRoutine tarafından her zaman doğru adresi döndürmediğini keşfetti.

Sonuç? Crafty bilgisayar korsanları, kötü amaçlı yazılımdan koruma yazılımını yanlış yönlendirmek ve kötü amaçlı yazılımların algılama olmadan çalışmasına izin vermek için boşlukları kullanabilir. Microsoft, mühendislerinin enSilo tarafından sağlanan bilgilere baktığını ve sözde hatanın güvenlik tehdidi oluşturmadığını belirttiğini söyledi.

enSilo, Windows çekirdeğinde bu hatayı kullanmak için dahi bir hacker almayacağını iddia etse de, korkularını kanıtlamak için hiçbir üçüncü taraf antivirüs test etmedi. Microsoft'un gelecekteki güncellemelerdeki hatayı düzeltmek için bir düzeltme eki yayınlayıp yayınlayamayacağı veya tehdidi durdurmak için her zaman hatayı bilip bilmedikleri ve başka önlemlerin olup olmayacağı açık değildir.

API, Windows işletim sistemi için yeni değil. İlk olarak 2000 sürümünde işletim sistemi içine yazılmıştır ve mevcut Windows 10 da dahil olmak üzere sonraki tüm sürümler için alıkonulmuştur. Bu, bir Windows işletim sistemi hatasının kötü niyetli yazılım geliştiricileri tarafından keşfedilmemesi çok uzun sürecek gibi görünmektedir.

Belki de bu Windows çekirdeği hatasında bir güvenlik ihlali olmamıştır, çünkü bilgisayar korsanları henüz bulamamıştır. Eh, şimdi biliyorlar. Ve Microsoft, böcekle ilgili hiçbir şey yapmayacağından, şimdiye kadar girişimci hacker topluluğunun bu fırsatı ne yapacağı görülmeye devam ediyor. Belki de bize bu hatanın bir güvenlik tehdidi oluşturmadığı konusunda haklı olup olmadığını söyleyecektir.