Microsoft zal geen beveiligingsupdate uitbrengen, ondanks een onderzoeksbureau voor cyberbeveiliging dat beweert dat het een bug in de PsSetLoadImageNotifyRoutine API heeft ontdekt die ontwikkelaars van kwaadaardige malware kunnen gebruiken om detectie door anti-malware software van derden te ontwijken. Het softwarebedrijf gelooft niet dat de genoemde bug een beveiligingsrisico inhoudt.

Een beveiligingsonderzoeker bij enSilo, Omri Misgav, ontdekte een 'programmeerfout' in de low-level interface PsSetLoadImageNotifyRoutine die door hackers kan worden misleid om kwaadaardige software zonder detectie langs antivirussen van derden te laten glippen.

Als het correct werkt, zou de API stuurprogramma's, inclusief die welke door anti-malware software van derden worden gebruikt, op de hoogte stellen wanneer een softwaremodule in het geheugen wordt geladen. Antivirussen kunnen vervolgens het door de API opgegeven adres gebruiken om modules vóór het laden te volgen en te scannen. Misgav en zijn team ontdekten dat PsSetLoadImageNotifyRoutine niet altijd het juiste adres retourneert.

Het gevolg? Geslepen hackers kunnen de maas in de wet gebruiken om anti-malware software verkeerd te richten en kwaadaardige software zonder detectie te laten werken. Microsoft zegt dat zijn technici de informatie van enSilo hebben bekeken en hebben vastgesteld dat de vermeende bug geen beveiligingsrisico vormt.

enSilo heeft zelf geen antivirus van derden getest om zijn angsten te bewijzen, ook al beweert het dat het geen geniale hacker zal kosten om deze bug in de Windows-kernel te exploiteren. Het is onduidelijk of Microsoft een patch zal uitbrengen om de bug in toekomstige updates op te lossen of dat zij altijd van de bug op de hoogte zijn geweest en andere veiligheidsmaatregelen hebben getroffen om de dreiging te stoppen.

De API zelf is niet nieuw voor het Windows-besturingssysteem. Het werd voor het eerst in OS geschreven in de build van 2000 en werd bewaard voor alle volgende versies, inclusief de huidige Windows 10. Dat lijkt te lang voor een fout in het Windows OS om niet te worden benut door malware-ontwikkelaars.

Misschien is er nog geen beveiligingslek geweest door deze Windows-kernelbug omdat hackers het nog niet hadden ontdekt. Nou, nu weten ze het. En aangezien Microsoft niets aan de bug gaat doen, valt het nog te bezien wat de ooit ondernemende hackergemeenschap van deze mogelijkheid zal maken. Misschien zal dat ons vertellen of Microsoft gelijk heeft dat deze bug geen beveiligingsrisico vormt.