Bugs zijn absoluut een ongemak voor gebruikers en dienen als pad voor aanvallers om toegang te krijgen tot een systeem. In feite lijkt een bug meer op een ontgrendelde achterdeur. Onlangs is ontdekt dat ontwikkelaars van malware in staat zijn om een ​​programmeerfout in de Windows-kernel te misbruiken en onopgemerkt te blijven. De kwaadaardige modules worden tijdens runtime geladen en zelfs deze kunnen met succes detectie voorkomen.

De bug heeft kennelijk invloed op PsSetLoadImageNotifyRoutine, een van de mechanismen die door beveiligingsoplossingen worden gebruikt om te bepalen of code al dan niet in de kernel of gebruikersruimte is geladen. Aanvallers kunnen deze bug misbruiken, zodat de PsSetLoadImageNotifyRoutine een ongeldige modulenaam gooit en hiermee de aanvaller de malware als een legitieme bewerking zal vermommen.

Het ergste is echter dat de bug van invloed is op alle versies van Windows die sinds Windows 2000 zijn uitgebracht. Het probleem kwam echter pas aan het licht toen Omri Misgav, beveiligingsonderzoeker bij enSilo, het ontdekte tijdens het analyseren van de Windows-kernelcode. De fout is ook overgenomen door Windows 10.

Op dit punt wisten we zeker dat we erachter kwamen wat het probleem veroorzaakt, maar wat ons ontging was hoe kan het zijn dat deze bug nog steeds bestaat? En er is geen voor de hand liggende oplossing voor?

PsSetLoadImageNotifyRoutine is geïntroduceerd als een meldingsmechanisme om app-ontwikkelaars op de hoogte te stellen van nieuw geregistreerde stuurprogramma's. Bovendien was het mechanisme ook geïntegreerd met antivirussoftware om malware te detecteren die wijzigingen in stuurprogramma's heeft aangebracht.

Microsoft daarentegen ziet dit niet als een potentieel beveiligingsprobleem en volgens onderzoekers was de bug enigszins bekend. Omdat de oorzaak en andere details nog steeds niet beschikbaar zijn, is het erg moeilijk om hun claims te onderbouwen.