E安全9月8日讯 端点安全公司enSilo的研究人员发现一个微软内核漏洞,攻击者可借此绕过反病毒系统并加载恶意软件。该漏洞存在于PsSetLoadImageNotifyRoutine中,影响了Windows 2000到Windows 10所有版本
微软在Windows 2000中启用PsSetLoadImageNotifyRoutine,以便将PE镜像文件加载或映射到内存中时通知内核不同部分的注册驱动。最高级别的系统分析驱动可以调用PsSetLoadImageNotifyRoutine设置载入镜像,通知例程。
研究人员钻研Windows内核时在微软API中发现该漏洞。他们注意到,通过内核为加载的PE镜像注册通知例程后,回调可能会接收无效的镜像名称。最初研究人员认为这是一个随机问题,但实际上漏洞存在于内核之中。
微软过去17年发布的所有Windows版本受影响
enSilo联合创始人兼首席技术官乌迪·亚沃解释称,漏洞存在于微软为安全厂商提供的API中。提供该API的目的是让安全厂商了解操作系统正在加载的文件。然而,这个API无法正常发挥效用,可能会为安全厂商提供无效的文件,无法识别恶意软件。
enSilo安全研究员暗利·密斯卡夫发博文报告表示,这个编程错误可能会阻止安全厂商和内核开发人员识别运行时加载的模块。这就意味着攻击者可以将恶意模块伪装成合法的加载到Windows环境中,而不会触发警报。
0day研究院(Zero-Day Institute)通信经理达斯汀·蔡尔兹表示,这就意味着,像Rootkit和勒索软件这样的恶意软件可能会逃过设备上安装的监控软件,例如反病毒软件和基于主机的入侵检测机制
虽然该漏洞影响了所有Windows版本,但多个版本受到影响的情况并不少见,不必过于惊慌。
虽然攻击者无法利用该漏洞直接利用Windows操作系统,但威胁攻击者可能利用此漏洞绕过某些系统。依赖该API的产品无法检测潜在的恶意文件,从而使攻击者能钻空子在企业系统中获取立足点。
微软可能不会发布补丁
亚沃称已经向微软报告了问题所在,但微软并不打算推出补丁。虽然他也认为这个特定的问题不容易被利用, 但谁知道攻击者是否会加以利用。微软目前尚未回应评论请求。
蔡尔兹指出,这项研究虽然有趣,但研究完成之前无法确定是否该漏洞具有可利用性。在此之前,研究人员应当提醒企业没有绝对安全的产品或技术,应使用多种工具和技术提供最佳保护。
即使目前微软未发布补丁,蔡尔兹建议企业将重点放在提高整体防御的策略上。
蔡尔兹表示,诸如网络隔离、监控、反病毒和补丁安全等技术有助于强化企业的安全态势。 企业无法阻止所有漏洞,但可以做好准备,以便漏洞利用攻击系统时发现问题所在。
这项研究目前仍在继续,后期或会发布更多研究成果。
发表评论