window

Un fallo de diseño dentro del núcleo de Windows que podría impedir que el software antivirus reconozca el malware no va a ser solucionado, dijo Microsoft.

El problema, detectado esta semana por el investigador de seguridad de enSilo Omri Misgav, se encuentra dentro de la llamada de sistema PsSetLoadImageNotifyRoutine, que ha sido parte del sistema operativo de Microsoft desde Windows 2000 y sigue activo en las últimas versiones.

Las herramientas antivirus utilizan PsSetLoadImageNotifyRoutine para comprobar si se ha cargado un código malicioso en la memoria, pero Misgav descubrió que un atacante astuto podría utilizar la codificación insuficiente detrás de la API para pasar el malware pasado a los escáneres.

“Durante la investigación en el kernel de Windows, nos encontramos con un interesante problema con PsSetLoadImageNotifyRoutine que, como su nombre indica, notifica de la carga del módulo”, dijo en una entrada del blog.

“Después de registrar una rutina de notificación para las imágenes PE cargadas con el kernel, la devolución de llamada puede recibir nombres de imagen no válidos. Después de investigar en el asunto, lo que comenzó como un problema aparentemente aleatorio resultó originarse de un error de codificación en el kernel de Windows sí mismo.”

Esencialmente, el malware puede utilizar la API anterior para engañar al sistema operativo para que los escáneres de malware obtengan otros archivos, como ejecutables benignos, para inspeccionar en lugar de su propio código malicioso. Esto permitiría a los usuarios de software evadir los paquetes antivirus.

Después de que EnSilo notificara a Microsoft sobre el problema, no ocurrió nada. Cuando los técnicos de Redmond se pusieron en contacto, dijeron que no estaban preocupados por el tema – una opinión también reflejada en una declaración a The Register:

“Nuestros ingenieros revisaron la información y determinaron que esto no representa una amenaza para la seguridad y no planeamos abordarla con una actualización de seguridad”.

Crack on, los escritores de malware.

 

Original

(Visitada 1 veces, 1 visitas hoy )