Microsoft не випускатиме оновлення безпеки, незважаючи на те, що фірма з дослідження кіберзахисту стверджує, що виявила помилку в API PsSetLoadImageNotifyRoutine, яку розробники зловмисних програм можуть уникнути виявлення стороннім програмним забезпеченням проти зловмисних програм. Програмна компанія не вважає, що зазначена помилка несе загрозу безпеці.

Дослідник безпеки компанії EnSilo Омрі Місгав виявив "помилку програмування" в інтерфейсі низького рівня PsSetLoadImageNotifyRoutine, яку хакери можуть обманути, щоб зловмисне програмне забезпечення могло проскочити антивіруси сторонніх виробників без виявлення.

Якщо він працює правильно, API повинен повідомляти драйверів, у тому числі тих, які використовуються сторонніми програмами проти зловмисного програмного забезпечення, коли програмний модуль завантажується в пам'ять. Потім антивіруси можуть використовувати адресу, надану API, для відстеження та сканування модулів до часу завантаження. Місґав та його команда виявили, що PsSetLoadImageNotifyRoutine не завжди повертає правильну адресу.

Наслідок? Хитрі хакери можуть використовувати лазівку, щоб неправильно спрямувати програмне забезпечення проти зловмисного програмного забезпечення та дозволяти зловмисному програмному забезпеченню працювати без виявлення. Microsoft каже, що його інженери вивчили інформацію, надану enSilo, і встановили, що передбачувана помилка не становить загрози безпеці.

enSilo сам не перевіряв жодного стороннього антивірусу, щоб довести свої побоювання, хоча він стверджує, що геніальний хакер не буде використовувати цю помилку в ядрі Windows. Незрозуміло, чи Microsoft випустить патч, щоб виправити помилку в майбутніх оновленнях, чи завжди вони знали про помилку та чи існують інші гарантії, щоб зупинити загрозу.

Сам API не є новим для ОС Windows. Він був вперше записаний в ОС у версії 2000 року і зберігався для всіх наступних версій, включаючи поточну Windows 10. Це може здатися занадто довгим, щоб недолік ОС Windows не використовувався розробниками шкідливих програм.

Можливо, ще не було жодного порушення безпеки через цю помилку ядра Windows, оскільки хакери ще не виявили її. Ну, тепер вони знають. Оскільки Microsoft не збирається нічого робити з помилкою, залишається зрозуміти, що зробить коли-небудь заповзятлива хакерська спільнота від цієї можливості. Можливо, це скаже нам, чи Microsoft має рацію щодо цієї помилки, яка не несе загрози безпеці.