מיקרוסופט לא תשחרר עדכון אבטחה למרות שחברת מחקר אבטחת סייבר טוענת שגילתה באג בממשק ה- API של PsSetLoadImageNotifyRoutine בו מפתחים של תוכנות זדוניות זדוניות יוכלו להשתמש בכדי להתחמק מגילוי על ידי תוכנה נגד תוכנות זדוניות מצד שלישי. חברת התוכנה לא מאמינה שהבאג האמור מהווה סיכון אבטחה כלשהו.

חוקר אבטחה ב- enSilo, עומרי משגב, גילה 'שגיאת תכנות' בממשק ברמה הנמוכה PsSetLoadImageNotifyRoutine שיכולים להערים על ידי האקרים על מנת לאפשר לתוכנה זדונית להחליק מעבר לאנטי-ווירוסים של צד שלישי ללא גילוי.

כאשר זה עובד נכון, ה- API אמור להודיע ​​למנהלי התקנים, כולל אלה המשמשים תוכנה נגד תוכנות זדוניות של צד שלישי, כאשר מודול תוכנה נטען לזיכרון. לאחר מכן יכולות אנטי-וירוס להשתמש בכתובת שמספקת ה- API כדי לעקוב ולסרוק מודולים לפני זמן הטעינה. משגב וצוותו גילו PsSetLoadImageNotifyRoutine לא תמיד מחזיר את הכתובת הנכונה.

ההשלכה? האקרים ערמומיים יכולים להשתמש בפרצה בכוונה לא נכונה של תוכנות נגד תוכנות זדוניות ולאפשר לתוכנה זדונית לפעול ללא גילוי. מיקרוסופט טוענת כי המהנדסים שלה בדקו את המידע שנמסר על ידי enSilo וקבעו כי הבאג לכאורה אינו מהווה איום אבטחה.

enSilo עצמה לא בדקה אף אנטי-וירוס של צד שלישי כדי להוכיח את הפחדים שלה, למרות שהיא טוענת שהיא לא תצטרך להאקר גאוני לנצל את הבאג הזה בגרעין Windows. לא ברור אם מיקרוסופט תשחרר תיקון כדי לתקן את הבאג בעדכונים עתידיים או האם הם תמיד ידעו על הבאג ויש להם אמצעי הגנה אחרים כדי לעצור את האיום.

ממשק ה- API עצמו אינו חדש במערכת ההפעלה Windows. זה נכתב לראשונה למערכת ההפעלה בבניית 2000 ונשמר על כל הגרסאות הבאות, כולל Windows 10. הנוכחי נראה זמן רב מדי עד שהפגם במערכת ההפעלה Windows לא ינוצל על ידי מפתחי תוכנות זדוניות.

אולי טרם התרחשה הפרת אבטחה דרך באג הגרעינים של חלונות זה מכיוון שהאקרים עדיין לא גילו את זה. ובכן, עכשיו הם יודעים. ומכיוון שמיקרוסופט לא מתכוונת לעשות דבר בקשר לחיידק, נותר לראות מה תעשה קהילת ההאקרים היוזמת והאינטנסיבית של ההזדמנות הזו. אולי זה יגיד לנו אם מיקרוסופט צודקת באג זה אינו מהווה איום אבטחה.