Un bug en el kernel de Windows podría anular la función de los antimalware

Share this…

Existe un bug en el kernel de Windows que podría ser usado por los atacantes para neutralizar el mecanismo de detección utilizado por las soluciones de seguridad.

El fallo afecta a PsSetLoadImageNotifyRoutine, uno de los mecanismos a bajo nivel que algunas soluciones de seguridad utiliza para identificar cuando un código ha sido cargado dentro del kernel o el espacio de usuario. La raíz del problema está en que un atacante puede explotar el bug para que PsSetLoadImageNotifyRoutine devuelva un nombre de módulo inválido, permitiéndole hacer pasar un malware como una operación legítima.

¿A qué versiones de Windows afecta este fallo de seguridad a nivel del kernel? Según el investigador que lo ha descubierto, a todas las aparecidas desde el año 2000. Esto quiere decir que a partir de Windows 2000 todas las versiones del sistema operativo están afectadas, incluidas XP, Vista, 7, 8 y 10, abarcando hasta las actualizaciones más recientes. La detección de fallos que llevan presentes en el software muchos años no es algo poco frecuente, ya que SambaCry es un caso del mismo estilo.

Microsoft introdujo PsSetLoadImageNotifyRoutine como mecanismo de notificación encargado de notificar de forma programada a los desarrolladores de aplicaciones sobre nuevos drivers registrados. Debido a que el sistema también podría detectar cuando se carga una imagen PE en la memoria virtual, el mecanismo puede ser integrado con un software antimalware para detectar algunos tipos de operaciones maliciosas.

Sin embargo, Microsoft no ha reconocido este problema como un fallo de seguridad, ya que el origen está sobre todo en cómo utilizan algunas soluciones de seguridad PsSetLoadImageNotifyRoutine para detectar ciertas operaciones maliciosas.

Fuente:https://muyseguridad.net/2017/09/07/bug-kernel-windows-anular-antimalware/