Microsoft는 사이버 보안 연구 회사가 PsSetLoadImageNotifyRoutine API에서 악의적 인 악성 코드 개발자가 타사 맬웨어 방지 소프트웨어의 탐지를 피하는 데 사용할 수있는 버그를 발견했다고 주장하면서 보안 업데이트를 공개하지 않을 것입니다. 소프트웨어 회사는 상기 버그가 보안 위험을 초래한다고 생각하지 않습니다.

enSilo의 Omri Misgav 보안 연구원은 PsSetLoadImageNotifyRoutine 하위 수준 인터페이스에서 '프로그래밍 오류'를 발견했습니다.이 오류는 해커가 악의적 인 소프트웨어가 탐지하지 않고 타사 바이러스 백신을 통과 할 수 있도록 해킹 할 수 있습니다.

올바르게 작동하면 API는 소프트웨어 모듈이 메모리에로드 될 때 타사 맬웨어 방지 소프트웨어에서 사용하는 드라이버를 포함하여 드라이버에 알립니다. 그런 다음 안티 바이러스는 API가 제공 한 주소를 사용하여로드 시간 전에 모듈을 추적하고 스캔 할 수 있습니다. Misgav와 그의 팀은 PsSetLoadImageNotifyRoutine이 항상 올바른 주소를 반환하지는 않는다는 것을 발견했습니다.

결과? 교묘 한 해커는 허점을 사용하여 맬웨어 방지 소프트웨어를 오도하고 악의적 인 소프트웨어를 탐지하지 않고 실행할 수 있습니다. 마이크로 소프트는 엔지니어들이 enSilo가 제공 한 정보를 조사한 결과 버그가 보안 위협을 유발하지 않는다고 판단했다.

enSilo는 Windows 커널에서이 버그를 악용하기 위해 천재 해커가 필요하지 않다고 주장하지만 타사 바이러스 백신을 테스트하여 두려움을 증명하지 않았습니다. 향후 업데이트에서 버그를 해결하기 위해 패치를 릴리스할지, 또는 버그를 항상 알고 있으며 위협을 막을 수있는 다른 보호 장치가 있는지 여부는 확실하지 않습니다.

API 자체는 Windows OS에 새로운 것이 아닙니다. 2000 년 빌드에서 처음으로 OS에 작성되었으며 현재 Windows 10을 포함한 모든 후속 버전에 대해 유지되었습니다. 맬웨어 개발자가 Windows OS 결함을 악용하기에는 너무 길 것 같습니다.

해커가 아직이 취약점을 발견하지 못했기 때문에이 Windows 커널 버그를 통해 보안 위반이 발생하지 않았을 수 있습니다. 글쎄, 그들은 지금 알고있다. 그리고 마이크로 소프트는이 버그에 대해 아무 것도하지 않을 것이기 때문에, 지금까지의 해커 커뮤니티가이 기회를 통해 무엇을 할 수 있을지 여전히 남아 있습니다. 아마도이 버그에 대해 Microsoft가 옳은지를 알려면 보안 위협이되지 않을 것입니다.