未修补的Windows内核漏洞可能会帮助恶意软件阻碍检测

enSilo安全研究员Omri Misgav描述的安全问题存在于内核例程“PsSetLoadImageNotifyRoutine”中，这显然会影响自Windows 2000以来所有版本的Windows操作系统。

Windows有一个名为PsSetLoadImageNotifyRoutine的内置API，可以帮助程序监控是否有新模块加载到内存中。一旦注册，程序会在每次将模块加载到内存时收到通知。此通知包括磁盘上模块的路径。
然而，Misgav发现，由于“缓存行为，以及文件系统驱动程序维护文件名的方式和严重的编码错误”，该函数并不总是返回加载模块的正确路径。

什么不好？微软似乎没有解决这个问题的计划，因为软件巨头不认为它是安全漏洞。

enSilo研究团队负责人塔尔·利伯曼（Tal Liberman）表示：“这个漏洞可能会对那些不知道它存在的人产生安全影响。我们认为，如果微软不打算修复这个漏洞，他们至少应该在文档中明确警告开发者”。

研究人员认为，从理论上讲，恶意软件作者可以利用这个“编程错误”绕过防病毒检测，尤其是那些依赖此API来检查是否有恶意代码加载到内存中的安全产品—；使用“一系列文件操作”误导扫描引擎查看错误的文件。
因此，如果你的端点检测和响应产品依赖于这个Bug API，你应该考虑不使用它，或者必须实现研究人员引入的解决方案来克服漏洞。

在另一篇博文中，Misgav建议软件开发人员使用另一个Windows API（fltgetFileNameInformationSafe）来使用file object参数检查模块路径的有效性。

如果文件存在，则可以验证加载到内存中的文件对象是否确实与磁盘上的文件相同。

要了解更多技术性的解释，可以访问enSilo的博客。

在另一条新闻中，Check Point的安全研究人员报道了一种新的攻击技术，称为Bashware，它利用Windows内置的Linux子系统，在最安全的解决方案中隐藏恶意软件。