バグはユーザーにとって間違いなく不便であり、攻撃者がシステムにアクセスするための経路として機能します。 実際、バグはロック解除されたバックドアのようなものです。 最近、マルウェア開発者がWindowsカーネルのプログラミングエラーを悪用して検出されないことが明らかになりました。 悪意のあるモジュールは実行時にロードされ、これらのモジュールでも検出を回避できます。

このバグは、コードがカーネルまたはユーザー空間にロードされているかどうかを識別するためにセキュリティソリューションで採用されているメカニズムの1つであるPsSetLoadImageNotifyRoutineに明らかに影響します。 攻撃者はこのバグを悪用してPsSetLoadImageNotifyRoutineが無効なモジュール名をスローし、これにより、攻撃者はマルウェアを正当な操作として偽装します。

しかし、最悪の部分は、バグがWindows 2000以降にリリースされたすべてのバージョンのWindowsに影響することです。ただし、enSiloのセキュリティ研究者であるOmri MisgavがWindowsカーネルコードの分析中に発見したときに問題が明らかになりました。 このエラーはWindows 10でも継承されています。

この時点で、問題の原因を突き止めたと確信していましたが、どうしてこのバグがまだ存在しているのかわかりませんでしたか？ そして、それに対する明らかな解決策はありませんか？

PsSetLoadImageNotifyRoutineは、新しく登録されたドライバーをアプリ開発者に通知する通知メカニズムとして導入されました。 さらに、このメカニズムはウイルス対策ソフトウェアとも統合されており、ドライバーに変更を加えたマルウェアを検出できます。

一方、Microsoftはこれを潜在的なセキュリティの問題とは見なしておらず、研究者によると、このバグはある程度知られていました。 その根本原因やその他の詳細はまだ入手できないため、彼らの主張を実証することは非常に困難です。