Microsoft ei julkaise tietoturvapäivitystä siitä huolimatta, että tietoverkkoturvayritys väittää löytäneensä vian PsSetLoadImageNotifyRoutine-sovellusliittymässä, jota haittaohjelmien kehittäjät voivat käyttää kiertämään kolmansien osapuolten haittaohjelmien torjuntaa. Ohjelmistoyritys ei usko, että mainittu vika aiheuttaa tietoturvariskiä.

EnSilon tietoturvatutkija Omri Misgav löysi ”ohjelmointivirheen” matalan tason rajapinnassa PsSetLoadImageNotifyRoutine, jota hakkerit voivat huijata, jotta haittaohjelmat pääsevät liikkumaan kolmansien osapuolten viruksilta ilman havaitsemista.

Kun se toimii oikein, sovellusliittymän on tarkoitus ilmoittaa ohjaimille, mukaan lukien kolmannen osapuolen haittaohjelmien torjuntaohjelmien käyttämät ohjelmistomoduulit ladattaessa muistiin. Antiviruset voivat sitten käyttää API: n tarjoamaa osoitetta moduulien seuraamiseen ja skannaamiseen ennen latausaikaa. Misgav ja hänen tiiminsä löysivät PsSetLoadImageNotifyRoutine ei aina palauta oikeaa osoitetta.

Seuraus? Vihaiset hakkerit voivat käyttää porsaanreikiä väärin kohdistaa haittaohjelmien torjuntaohjelmia ja sallia haittaohjelmien suorittamisen ilman havaitsemista. Microsoft sanoo, että sen insinöörit ovat tarkastelleet enSilon toimittamia tietoja ja todenneet, että oletettu vika ei aiheuta turvallisuusuhkaa.

EnSilo itsessään ei ole testannut minkään kolmannen osapuolen virustorjuntaa pelkojensa todistamiseksi, vaikka se väittää, että sen ei tarvitse tehdä neroa hakkeroijaa hyödyntämään tätä virhettä Windows-ytimessä. On epäselvää, julkaiseeko Microsoft korjaustiedoston virheen korjaamiseksi tulevissa päivityksissä vai ovatko he aina tietäneet virheen ja onko heillä muita suojatoimia uhan lopettamiseksi.

Itse sovellusliittymä ei ole uusi Windows-käyttöjärjestelmässä. Se kirjoitettiin ensin käyttöjärjestelmään 2000-versiossa ja säilytettiin kaikille seuraaville versioille, myös nykyiselle Windows 10: lle. Se tuntuu liian kauan, jotta Windows-käyttöjärjestelmävirhe jää käyttämättä haittaohjelmien kehittäjien toimesta.

Ehkä tämän Windows-ytimen virheen kautta ei ole vielä tapahtunut tietoturvaloukkauksia, koska hakkerit eivät olleet vielä löytäneet sitä. No, nyt he tietävät. Ja koska Microsoft ei aio tehdä mitään virheen suhteen, on vielä nähtävissä, mitä aina yritteliäs hakkeriyhteisö tekee tästä mahdollisuudesta. Ehkä se kertoo meille, onko Microsoft oikeassa siinä, että tämä virhe ei aiheuta turvallisuusuhkaa.