研究人員最近發現一枚Windows內核0day漏洞,影響Windows2000到Windows10所有版本。惡意軟件可利用該漏洞躲過安全軟件的檢測,但該漏洞利用難度較大。
攻擊者利用該漏洞可以繞過病毒查殺系統,運行惡意軟件。該漏洞影響安全解決方案中的PsSetLoadImageNotifyRoutine機制,該機制用來識別代碼何時進入內核或用戶空間。
漏洞利用
因為PsSetLoadImageNotifyRoutine會返回一個無效的模塊名,因此攻擊者可以利用將惡意應用偽裝成合法的操作。
該漏洞影響過去17年發布的所有Windows版本。enSilo的研究人員在分析Windows內核代碼時發現了該漏洞。并稱該漏洞影響Windows 2000之后的所有Windows版本(包括Windows 10最新發布的版本)。
PsSetLoadImageNotifyRoutine是微軟引入的一個通知機制,用來通知應用開著新注冊的驅動。當PE鏡像進入虛擬內存時,系統同樣可以檢測到,因此該反病毒軟件也利用該機制來檢測惡意軟件的惡意行為。
微軟可能不會發布補丁
研究人員Misgav 與Microsoft Security Response Center確認過,但微軟并不認為這是一個安全問題,問題的關鍵是一些安全軟件依賴該機制檢測軟件的惡意行為。這項研究目前仍在繼續,后期或會發布更多研究成果。
關于PsSetLoadImageNotifyRoutine的運行機制和具體技術細節,請點我
*參考來源:https://www.bleepingcomputer.com/news/security/bug-in-windows-kernel-could-prevent-security-software-from-identifying-malware/,轉載請注明來自FreeBuf.COM
京公網安備 11010502049343號