Een storing in de Windows-kernel verhindert het identificeren van malware

Er is onlangs een ernstige fout gedetecteerd in de Windows-kernel. Fout die gemakkelijk kan worden misbruikt door makers van malware. De betreffende fout is van invloed op PsSetLoadImageNotifyRoutine. Het is een van de mechanismen op laag niveau die door sommige beveiligingsoplossingen wordt gebruikt om te identificeren wanneer code in de kernel is geladen.

Een storing in de Windows-kernel verhindert het identificeren van malware

Daarom kan een aanvaller deze fout misbruiken door ervoor te zorgen dat PsSetLoadImageNotifyRoutine een ongeldige modulenaam retourneert. Hierdoor kan de hacker de malware verbergen alsof het een normale operatie is. De bug in kwestie werd eerder dit jaar opgemerkt en onderzoekers die het hebben ontdekt, zeggen dat de bug van invloed is op alle versies van Windows die sinds Windows 2000 zijn uitgebracht.

Windows-kernel crash

Blijkbaar is bij de uitgevoerde tests gebleken dat de storing alle versies heeft overleefd. Na 17 jaar is het dus nog steeds aanwezig. Microsoft heeft ooit het PsSetLoadImageNotifyRoutine meldingsmechanisme geïntroduceerd als een manier om ontwikkelaars programmatisch op de hoogte te stellen. Aangezien dit systeem kon detecteren of een afbeelding in het virtuele geheugen is geladen, werd besloten deze te integreren met de antivirussoftware om kwaadaardige bewerkingen te detecteren.

Het grootste probleem is dat beveiligingssoftware op deze methode vertrouwt om enkele kwaadaardige bewerkingen te detecteren. Iets dat het risico op dit falen lijkt te vergroten. Zonder twijfel een ernstige fout van Microsoft, die moet worden opgelost, aangezien alle versies van Windows worden getroffen.

Op dit moment is er geen concrete oplossing voor dit falen. Microsoft heeft zelfs niet gereageerd. Voor gebruikers met verschillende versies van Windows is de aanbeveling de gebruikelijke. Houd uw computer altijd up-to-date en beschermd.