خلاصه: یک نقص طراحی در هستهی ویندوز وجود دارد که میتواند توسط مهاجمان برای فرار از آنتیویروسها و جلوگیری از شناسایی بدافزارها استفاده شود. این آسیبپذیری بر روی فراخوانی سیستمی PsSetLoasdImageNotifyRoutine تاثیر میگذارد. این مشکل به مایکروسافت گزارش شده است اما مایکروسافت اعلام کرده است که برای حل این مشکل برنامهای نخواهد داشت!
مایکروسافت تایید کرد که مسئلهی کرنل را که میتواند برای فرار از آنتیویروس مورد استفاده قرار گیرد حل نخواهد کرد
یک نقص طراحی در هستهی ویندوز میتواند توسط مهاجمان برای فرار از آنتیویروسها و جلوگیری از شناسایی بدافزارها استفاده شود.
این نقص طراحی در ویندوز اصلیترین دلیل برای جلوگیری از شناسایی بدافزار توسط آنتیویروس میتواند باشد، و خبر بد این است که مایکروسافت این مشکل را برطرف نخواهد کرد، چراکه این غول تکنولوژی آن را به عنوان یک مسئلهی امنیتی در نظر نمیگیرد!!
این آسیبپذیری چند روز گذشته توسط یک محقق امنیتی از enSilo کشف شد. این آسیبپذیری بر روی فراخوانی سیستم PsSetLoadImageNotifyRoutine که هنوز در آخرین نسخههای سیستمعاملهای مایکروسافت فعال است تاثیر میگذارد.
PsSetLoadImageNotifyRoutine توسط آنتیویروسها نیز برای بررسی وجود نرمافزارهای مخرب در حافظه مورد استفاده قرار میگیرد. اما این مسئله میتواند برای فریب راه حلهای دفاعی نیز استفاده شود.
پس از ثبت یک روال اعلان برای فایل PE بارگذاری شده توسط هسته، امکان اینکه فراخوانی دوباره یک اسم نامعتبر را دریافت کند وجود دارد ، و این از یک خطای برنامهنویسی در هستهی ویندوز نشأت میگیرد.
این مکانیزم درایورهای ثبتشده را وقتی که یک فایل PE در حافظهی مجازی بارگذاری شده آگاه میسازد.
این روال اعلان میتواند در موارد زیر مورد استفاده قرار گیرد:
- بارگذاری درایورها
- شروع پروسهی جدید
- پردازش image اجرایی
- System DLL: ntdll.dll (2 different binaries for WoW64 processes)
- PE Image های بارگذاری شده به صورت runtime- جدول import، LoadLibrary، LoadlibraryEX، NtMapViewOfSection
- این آسیبپذیری میتواند توسط بدافزارها مورد سواستفاده قرار گیرد.
enSilo این مشکل را به مایکروسافت گزارش داد و پاسخ آنها این بود:
" مهندسان ما این اطلاعات را بررسی کرده و تصدیق میکنند که این یک تهدید امنیتی نیست و ما برنامهای برای حل کردن این مشکل با یک بهروزرسانی امنیتی نداریم!!"
