Un error en el núcleo de Windows podría impedir que el software de seguridad identifique el malware

Los desarrolladores de malware pueden abusar de un error de programación en el kernel de Windows para evitar que el software de seguridad identifique si se han cargado módulos maliciosos en tiempo de ejecución y cuándo.

El fallo afecta a PsSetLoadImageNotifyRoutine, uno de los mecanismos de bajo nivel que algunas soluciones de seguridad utilizan para identificar cuándo se ha cargado el código en el kernel o espacio de usuario.

El problema es que un atacante puede explotar este error de forma que PsSetLoadImageNotifyRoutine devuelva un nombre de módulo inválido, permitiendo al atacante disfrazar el malware como una operación legítima.

Bug afecta a todas las versiones de Windows publicadas en los últimos 17 años

El problema salió a la luz a principios de este año cuando los investigadores de enSilo estaban analizando el código del núcleo de Windows. Omri Misgav, Investigador de Seguridad de enSilo y el que descubrió el problema, dice que el error afecta a todas las versiones de Windows publicadas desde Windows 2000.

Las pruebas de Misgav mostraron que el error de programación ha sobrevivido hasta las versiones más recientes de Windows 10.

Microsoft introdujo el mecanismo de notificación PsSetLoadImageNotifyRoutine como una forma de notificar programáticamente a los desarrolladores de aplicaciones sobre los nuevos controladores registrados. Debido a que el sistema también podía detectar cuando se cargaba una imagen PE en la memoria virtual, el mecanismo también se integró con el software antivirus como una forma de detectar algunos tipos de operaciones maliciosas.

Microsoft no veía esto como un problema de seguridad

En este momento, el mayor problema es que el software de seguridad se basa en este método para detectar algunos tipos de operaciones maliciosas.

«No probamos ningún software de seguridad específico», dijo Misgav a Bleeping Computer por correo electrónico. «Somos conscientes de que algunos proveedores utilizan este mecanismo, sin embargo, en este momento no podemos decir si y cómo les afecta el uso de la información[PsSetLoadImageNotifyRoutine] defectuosa».

«Nosotros[también] nos pusimos en contacto con el MSRC[Microsoft Security Response Center] sobre este tema a principios de este año», dijo Misgav a Bleeping. «No lo consideraron un asunto de seguridad.»

«Algunas referencias en línea indican que el error era algo conocido, pero por lo que sabemos su causa raíz y todas sus implicaciones no se habían descrito en detalle hasta ahora», dijo el investigador.

Para detalles técnicos, una entrada de blog enSilo detalla las finas complejidades de cómo funciona PsSetLoadImageNotifyRoutine y cómo el error altera su comportamiento normal y supuesto.

Contenido relacionado

Categorías Windows

Deja un comentario