端點安全公司enSilo的研究人員發(fā)現(xiàn)一個微軟內(nèi)核漏洞，攻擊者可借此繞過反病毒系統(tǒng)并加載惡意軟件。該漏洞存在于PsSetLoadImageNotifyRoutine中，影響了Windows 2000到Windows 10所有版本。

微軟在Windows 2000中啟用PsSetLoadImageNotifyRoutine，以便將PE鏡像文件加載或映射到內(nèi)存中時通知內(nèi)核不同部分的注冊驅(qū)動。最高級別的系統(tǒng)分析驅(qū)動可以調(diào)用PsSetLoadImageNotifyRoutine設(shè)置載入鏡像，通知例程。

研究人員鉆研Windows內(nèi)核時在微軟API中發(fā)現(xiàn)該漏洞。他們注意到，通過內(nèi)核為加載的PE鏡像注冊通知例程后，回調(diào)可能會接收無效的鏡像名稱。最初研究人員認為這是一個隨機問題，但實際上漏洞存在于內(nèi)核之中。

微軟過去17年發(fā)布的所有Windows版本受影響enSilo聯(lián)合創(chuàng)始人兼首席技術(shù)官烏迪·亞沃解釋稱，漏洞存在于微軟為安全廠商提供的API中。提供該API的目的是讓安全廠商了解操作系統(tǒng)正在加載的文件。然而，這個API無法正常發(fā)揮效用，可能會為安全廠商提供無效的文件，無法識別惡意軟件。

enSilo安全研究員暗利·密斯卡夫發(fā)博文報告表示，這個編程錯誤可能會阻止安全廠商和內(nèi)核開發(fā)人員識別運行時加載的模塊。這就意味著攻擊者可以將惡意模塊偽裝成合法的加載到Windows環(huán)境中，而不會觸發(fā)警報。

0day研究院(Zero-Day Institute)通信經(jīng)理達斯汀·蔡爾茲表示，這就意味著，像Rootkit和勒索軟件這樣的惡意軟件可能會逃過設(shè)備上安裝的監(jiān)控軟件，例如反病毒軟件和基于主機的入侵檢測機制。

雖然該漏洞影響了所有Windows版本，但多個版本受到影響的情況并不少見，不必過于驚慌。

雖然攻擊者無法利用該漏洞直接利用Windows操作系統(tǒng)，但威脅攻擊者可能利用此漏洞繞過某些系統(tǒng)。依賴該API的產(chǎn)品無法檢測潛在的惡意文件，從而使攻擊者能鉆空子在企業(yè)系統(tǒng)中獲取立足點。

微軟可能不會發(fā)布補丁亞沃稱已經(jīng)向微軟報告了問題所在，但微軟并不打算推出補丁。雖然他也認為這個特定的問題不容易被利用, 但誰知道攻擊者是否會加以利用。微軟目前尚未回應(yīng)評論請求。

蔡爾茲指出，這項研究雖然有趣，但研究完成之前無法確定是否該漏洞具有可利用性。在此之前，研究人員應(yīng)當提醒企業(yè)沒有絕對安全的產(chǎn)品或技術(shù)，應(yīng)使用多種工具和技術(shù)提供最佳保護。

即使目前微軟未發(fā)布補丁，蔡爾茲建議企業(yè)將重點放在提高整體防御的策略上。

蔡爾茲表示，諸如網(wǎng)絡(luò)隔離、監(jiān)控、反病毒和補丁安全等技術(shù)有助于強化企業(yè)的安全態(tài)勢。 企業(yè)無法阻止所有漏洞，但可以做好準備，以便漏洞利用攻擊系統(tǒng)時發(fā)現(xiàn)問題所在。

這項研究目前仍在繼續(xù)，后期或會發(fā)布更多研究成果。