آسیب‌پذیری هسته‌ ویندوز وصله نمی‌شود
هشداری که مایکروسافت نادیده گرفت
کد مطلب: 13166
تاریخ انتشار : سه شنبه ۲۱ شهريور ۱۳۹۶ ساعت ۱۳:۰۰
 
مایکروسافت آسیب‌پذیری هسته ویندوز را که برای دور زدن ضدبدافزار قابل سوءاستفاده است مشکل امنیتی نمی‌بیند و آن را حل نخواهدکرد.
هشداری که مایکروسافت نادیده گرفت
 
 
Share/Save/Bookmark
مایکروسافت آسیب‌پذیری هسته ویندوز را که برای دور زدن ضدبدافزار قابل سوءاستفاده است مشکل امنیتی نمی‌بیند و آن را حل نخواهدکرد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، یک نقص طراحی در هسته ویندوز می‌تواند توسط مهاجمان مورد سوء‌استفاده قرار گیرد تا ضدبدافزار نتواند آنها را شناسایی کند. یک نقص طراحی در هسته ویندوز، دلیل اصلی برای عدم شناسایی بدافرار توسط ضدبدافزار است و خبر بد این است که مایکروسافت این مشکل را حل نخواهدکرد، زیرا این مسئله را به عنوان یک مشکل امنیتی در نظر نمی‎گیرد.

این آسیب‌پذیری که چند روز پیش توسط یک محقق امنیتی به نام Misgav از enSilo کشف شد و بر سامانه فراخوان «PsSetLoadImageNotifyRoutine» تاثیر می‌گذارد، هنوز در آخرین نسخه‌های سیستم‌‌های عامل مایکروسافت فعال است.

Misgav در یک پست وبلاگی نوشت: «در طول تحقیق در هسته ویندوز، ما با یک مسئله جالب درباره «PsSetLoadImageNotifyRoutine» روبه‌رو شدیم که نام آن «اطلاع از ماژول بارگیری‌شده» است. تابع «PsSetLoadImageNotifyRoutine» همچنین توسط ضدبدافزار برای بررسی وجود بدافزارها در حافظه مورد استفاده قرار می‌گیرد، اما این مسئله می‌تواند موجب فریب راه‌حل‌های امنیتی شود.»

مسئله این است که شاید پس از ثبت یک روند اعلان برای تصاویر بارگیری شده PE توسط هسته، فراخوانی بازگشتی، نام‌های نامعتبر را برای تصویر دریافت کند.

تحلیلگران می‌گویند: «پس از کاوش در این موضوع، آنچه که به عنوان یک مسئله به ظاهر تصادفی دیده‌می‌شود، اثبات می‌کند که این نقص ناشی از یک خطای برنامه‌نویسی در هسته ویندوز است.»

این سازوکار هنگام بارگیری یک پرونده تصویری PE در حافظه مجازی به راه‌اندازهای ثبت‌شده اطلاع می‌دهد. این روال اطلاع‌رسانی می‌تواند در مواردی مثل بارگیری راه‌اندازها، شروع فرایند جدید شامل تصویر قابل اجرای فرایند و کتابخانه‌های سیستم، تصاویر PE بارگیری شده در زمان اجرا، وارد کردن جدول‌ها و بارگیری کتابخانه‌ها، مورد استفاده قرار بگیرد. این نقص می‌تواند توسط بدافزار مورد سوء‌استفاده قرار گیرد تا ضدبدافزار را فریب دهند و مانع از بررسی کدهای مخرب توسط ضدبدافزار شوند.

enSilo این مشکل را به مایکروسافت گزارش داد و این پاسخ را دریافت کرد: «مهندسان ما این اطلاعات را بررسی کردند و تشخیص دادند که این یک تهدید امنیتی نیست و ما قصد نداریم با به‌روزرسانی امنیتی آن را حل کنیم.»
مرجع : وب‌گاه اخبار امنیتی فن‌آوری اطلاعات و ارتباطات