未加星标

【国际资讯】Windows内核bug阻止安全软件识别恶意软件

字体大小 | |
[业界资讯 所属分类 业界资讯 | 发布者 店小二05 | 时间 | 作者 红领巾 ] 0人收藏点击收藏
【国际资讯】windows内核bug阻止安全软件识别恶意软件 2017-09-08 11:11:34 阅读:705次 点赞(0) 收藏 来源: bleepingcomputer.com
【国际资讯】Windows内核bug阻止安全软件识别恶意软件 作者:360代码卫士
【国际资讯】Windows内核bug阻止安全软件识别恶意软件

翻译:360代码卫士

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿


简介

恶意软件开发人员能利用Windows内核中的一个编程错误阻止安全软件识别恶意模块是否在运行时已加载以及何时加载。

这个bug影响PsSetLoadImageNotifyRoutine。它是一些安全解决方案用于识别代码何时被加载到内核或用户空间的低层机制之一。问题在于攻击者能利用这个bug,导致PsSetLoadImageNotifyRoutine返回一个无效的模块名称,从而将恶意软件伪装成一个合法操作。


影响近17年发布的所有Windows版本

今年年初,来自enSilo公司的研究人员Omri Misgav在分析Windows内核代码时发现了这个问题。他指出这个bug影响自Windows 2000后发布的所有Windows版本。

Misgav开展的测试显示,最近推出的Windows 10也存在这个编程错误。

微软推出PsSetLoadImageNotifyRoutine通知机制的目的是从编程上通知app开发人员关于新注册驱动的信息。由于系统还能检测出PE镜像是何时加载到虚拟内存中的,因此该机制还集成杀毒软件以检测到某些恶意操作类型。


微软并不认为是安全问题

目前最大的问题就是,安全软件依靠这种方法来检测某些恶意操作类型。

Misgav通过邮件表示,“我们并不会测试任何一款具体的安全软件。我们了解到一些厂商使用这个机制,然而目前我们无法说明使用默认的PsSetLoadImageNotifyRoutine 信息是否会以及如何会影响到他们。”Misgav还指出在今年年初就曾联系MSRC(微软安全响应中心),但后者并不认为它是安全问题。他还表示,从网上找到的一些引用说明这个bug在某种程度上是已知的,但直到现在才说明了这个bug的根因和全部含义。

若需获知技术细节,请参见《PsSetLoadImageNotifyRoutine是如何运转的》以及该bug如何修改自己正常的且假定的行为。


【国际资讯】Windows内核bug阻止安全软件识别恶意软件
【国际资讯】Windows内核bug阻止安全软件识别恶意软件 本文由 安全客 翻译,转载请注明“转自安全客”,并附上链接。
原文链接:https://www.bleepingcomputer.com/news/security/bug-in-windows-kernel-could-prevent-security-software-from-identifying-malware/

本文业界资讯相关术语:网络安全论文 网络安全密钥 网络安全工程师 网络安全技术与应用 网络安全概念股 网络安全知识 网络安全宣传周 网络安全知识竞赛 网络安全事件

主题: Windows360微软
分页:12
转载请注明
本文标题:【国际资讯】Windows内核bug阻止安全软件识别恶意软件
本站链接:http://www.codesec.net/view/563857.html
分享请点击:


1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
技术大类 技术大类 | 业界资讯 | 评论(0) | 阅读(56)