버그는 공격자가 시스템에 액세스 할 수있는 통로 역할을하는 사용자에게는 불편한 점입니다. 사실, 버그는 잠금 해제 된 백도어와 비슷합니다. 최근 맬웨어 개발자가 Windows 커널에서 프로그래밍 오류를 악용하여 탐지되지 않을 가능성이 밝혀졌습니다. 악성 모듈은 런타임에로드되며 이러한 모듈도 탐지를 성공적으로 피할 수 있습니다.

버그는 코드가 커널 또는 사용자 공간에로드되었는지 여부를 식별하기 위해 보안 솔루션에서 사용하는 메커니즘 중 하나 인 PsSetLoadImageNotifyRoutine 에 영향을줍니다. 공격자는이 버그를 악용하여 PsSetLoadImageNotifyRoutine이 유효하지 않은 모듈 이름을 던질 수 있으며, 이를 통해 공격자는 합법적 인 작업으로 맬웨어를 위장합니다.

그러나 최악의 부분은 버그가 Windows 2000 이후에 릴리스 된 모든 Windows 버전에 영향을 미친다는 것입니다. 그러나 enSilo의 보안 연구원 인 Omri Misgav가 Windows 커널 코드를 분석하는 동안 버그를 발견했을 때만 문제가 발생했습니다. 이 오류는 Windows 10에서도 상속되었습니다.

이 시점에서 우리는 문제를 일으키는 원인이 무엇인지 알아 냈지만, 이 버그가 여전히 존재한다는 것이 어떻게 가능할까요? 그리고 확실한 해결책이 없습니까?

PsSetLoadImageNotifyRoutine은 앱 개발자에게 새로 등록 된 드라이버를 알리는 알림 메커니즘으로 도입되었습니다. 또한이 메커니즘은 바이러스 백신 소프트웨어와 통합되어 드라이버를 변경 한 맬웨어를 탐지 할 수 있습니다.

반면에 마이크로 소프트는이를 잠재적 인 보안 문제로 보지 않으며 연구원들에 따르면이 버그는 다소 알려졌다. 근본 원인과 기타 세부 사항은 아직 이용할 수 없기 때문에 그들의 주장을 입증하기가 매우 어렵습니다.