Las aplicaciones de seguridad no detectan amenazas de malware debido al error del núcleo de Windows


Según los investigadores de seguridad, existe un fallo de una década en el kernel de Windows que puede explotarse fácilmente para evitar que las aplicaciones de seguridad identifiquen programas maliciosos cargados en tiempo de ejecución.

El error es tan antiguo que se remonta a Windows 2000 y se encuentra en todas las versiones posteriores del sistema operativo Windows , incluida la versión más reciente, mientras que el problema real subyace con el PsSetLoadImageNotifyRoutine. Esta es una característica de Microsoft OS que notifica a los desarrolladores sobre las unidades que están registradas recientemente. Por lo tanto, el error es bastante grave ya que hace que las herramientas de seguridad sean inútiles ya que bloquea la capacidad del programa para detectar amenazas de malware.

Según el blog de la empresa de seguridad enSilo, el problema es aleatorio, que se originó a partir de un “error de codificación en el kernel de Windows”, mientras que el error está presente en la versión recientemente lanzada del sistema operativo Windows, el Windows 10 , así como el anterior desde el lanzamiento de Windows 2000.

Es bastante irónico que el error afecte PsSetLoadImageNotifyRoutine ya que el propósito básico de esta rutina era identificar las amenazas de malware y evitar que ingresaran al sistema Windows. La rutina se introdujo como un método para notificar a los controladores registrados en diferentes partes del kernel cuando un “archivo de imagen PE” se carga en la memoria virtual, es decir, (kernel\espacio de usuario).

Los investigadores identificaron que “después de registrar una rutina de notificación para las imágenes PE cargadas con el kernel, la devolución de llamada puede recibir nombres de imagen no válidos”.

Esto significa que, cuando se invocó la rutina de notificación registrada, el kernel suministró una serie de parámetros, los cuales iniciaron entonces la identificación apropiada de la imagen PE que se estaba cargando. Los parámetros forman parte de la definición del prototipo de la función de devolución de llamada.

El investigador de seguridad Omri Misgav declaró que Microsoft Security Response Center fue notificado sobre el error, pero la compañía no ve esto como un problema crítico de seguridad en absoluto. el fundador de EnSilo y CTO Udi Yavo también señaló que notificó a Microsoft sobre el problema en enero, pero sin éxito.

“Este error tiene implicaciones de seguridad en los proveedores de seguridad que se basan en la documentación de Microsoft cuando utilizan la API para supervisar los archivos cargados. Dado que no hay documentación del error y ninguna solución formal, esto puede hacer que los proveedores de seguridad se pierdan el malware. No tenemos conocimiento de ninguna intención de crear una solución a esto “, dijo Yavo a SecurityWeek.

Yavo, sin embargo, admitió que la rutina no funciona como se está especificando.

“Algunas referencias indican que el error fue algo conocido, pero … su causa raíz e implicaciones completas no fueron descritas en detalle hasta ahora”, lee la entrada del blog de enSilo.

Para resolver el problema, Microsoft sugiere usar una devolución de llamada de mini-filtro de sistema de archivos para supervisar archivos de imagen de PE cargados en la memoria virtual como código ejecutable. Sin embargo, los investigadores afirman que este método es inútil, ya que no se puede utilizar para determinar si el objeto de sección se crea para la carga de archivo de imagen PE o no, ya enSilo investigadores han observado que el parámetro que identificó el archivo de imagen PE cargado es el parámetro FullImageName.

También afirmó que el núcleo utiliza un formato totalmente diferente para FullImageName. Las rutas de acceso que se proporcionan para los archivos PE de modo de usuario cargado dinámicamente no tienen el nombre de volumen y, en algunos casos, la ruta de acceso es malformada hasta el punto de que incluso señala un archivo completamente diferente y, a veces, -archivo existente.

Los investigadores concluyen después de un análisis exhaustivo de que el Administrador de caché y la forma en que el controlador del sistema de archivos mantiene el nombre de archivo son responsables de los errores y un error de codificación eventualmente causa que se produzca el problema de nombre no válido.

Vía |hackread

log in

reset password

Back to
log in