مایکروسافت آسیبپذیری هسته ویندوز را که برای دور زدن ضدبدافزار قابل سوءاستفاده است مشکل امنیتی نمیبیند و آن را حل نخواهدکرد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، یک نقص طراحی در هسته ویندوز میتواند توسط مهاجمان مورد سوءاستفاده قرار گیرد تا ضدبدافزار نتواند آنها را شناسایی کند. یک نقص طراحی در هسته ویندوز، دلیل اصلی برای عدم شناسایی بدافرار توسط ضدبدافزار است و خبر بد این است که مایکروسافت این مشکل را حل نخواهدکرد، زیرا این مسئله را به عنوان یک مشکل امنیتی در نظر نمیگیرد.
این آسیبپذیری که چند روز پیش توسط یک محقق امنیتی به نام Misgav از enSilo کشف شد و بر سامانه فراخوان «PsSetLoadImageNotifyRoutine» تاثیر میگذارد، هنوز در آخرین نسخههای سیستمهای عامل مایکروسافت فعال است.
Misgav در یک پست وبلاگی نوشت: «در طول تحقیق در هسته ویندوز، ما با یک مسئله جالب درباره «PsSetLoadImageNotifyRoutine» روبهرو شدیم که نام آن «اطلاع از ماژول بارگیریشده» است. تابع «PsSetLoadImageNotifyRoutine» همچنین توسط ضدبدافزار برای بررسی وجود بدافزارها در حافظه مورد استفاده قرار میگیرد، اما این مسئله میتواند موجب فریب راهحلهای امنیتی شود.»
مسئله این است که شاید پس از ثبت یک روند اعلان برای تصاویر بارگیری شده PE توسط هسته، فراخوانی بازگشتی، نامهای نامعتبر را برای تصویر دریافت کند.
تحلیلگران میگویند: «پس از کاوش در این موضوع، آنچه که به عنوان یک مسئله به ظاهر تصادفی دیدهمیشود، اثبات میکند که این نقص ناشی از یک خطای برنامهنویسی در هسته ویندوز است.»
این سازوکار هنگام بارگیری یک پرونده تصویری PE در حافظه مجازی به راهاندازهای ثبتشده اطلاع میدهد. این روال اطلاعرسانی میتواند در مواردی مثل بارگیری راهاندازها، شروع فرایند جدید شامل تصویر قابل اجرای فرایند و کتابخانههای سیستم، تصاویر PE بارگیری شده در زمان اجرا، وارد کردن جدولها و بارگیری کتابخانهها، مورد استفاده قرار بگیرد. این نقص میتواند توسط بدافزار مورد سوءاستفاده قرار گیرد تا ضدبدافزار را فریب دهند و مانع از بررسی کدهای مخرب توسط ضدبدافزار شوند.
enSilo این مشکل را به مایکروسافت گزارش داد و این پاسخ را دریافت کرد: «مهندسان ما این اطلاعات را بررسی کردند و تشخیص دادند که این یک تهدید امنیتی نیست و ما قصد نداریم با بهروزرسانی امنیتی آن را حل کنیم.»
دریافت صفحه با کد QR