Исследователь рассказал об обнаружении бага в ядре операционной системы Windows, который позволяет злоумышленникам выполнять вредоносные действия, обходя полагающиеся в своей работе на интерфейс Windows API приложения безопасности. Баг затрагивает низкоуровневый интерфейс PsSetLoadImageNotifyRoutine, который уведомляет о загрузке модуля в ядро Windows. Атакующий может подделать название загружаемого модуля и выполнять действия незаметно для пользователя.
Специалист по безопасности Омри Мисгав из компании enSilo описал этот баг в статье в блоге, назвав его программной ошибкой в ядре. Эта ошибка есть во всех современных версиях Windows. Интерфейс PsSetLoadImageNotifyRoutine впервые появился в Windows 2000 и информирует драйверы, в том числе антивирусов, когда модуль загружается в процесс, и сообщает адрес модуля в памяти, чтобы приложения безопасности могли его отслеживать.
Исследователь установил, что Windows не всегда возвращает правильный результат, поэтому антивирусы могут не знать, какой файл им сканировать. При этом тестирование определённых антивирусов в связи с этим багом не проводилось.
Чтобы воспользоваться багом, нужно выполнить ряд шагов. Microsoft не рассматривает это как проблему безопасности, поэтому не собирается выпускать патч.