Win10系统 - Win10系统官方网站

Windows 10继承了存在17年的内核错误



对用户而言,错误绝对是一个不便之处,作为攻击者访问系统的途径。事实上,一个错误更像是一个解锁的后门。最近发现,恶意软件开发人员将能够利用Windows10内核中的编程错误,并且未被检测到。恶意模块将在运行时加载,甚至可以成功避免检测。

 

该错误显然影响PsSetLoadImageNotifyRoutine,安全解决方案采用的机制之一是识别代码是否被加载到内核或用户空间中。攻击者可以利用这个错误,使PsSetLoadImageNotifyRoutine抛出一个无效的模块名称,攻击者会将恶意软件伪装成合法操作。

 

然而,最糟糕的是,该bug会影响Windows 2000以后发布的所有版本的Windows。但是,enSilo的安全研究人员Omri Misgav在分析Windows内核代码时发现了这个问题。该错误已被Windows 10继承。

 

在这一点上,我们确定我们想出了什么导致了这个问题,但是我们知道这个bug是否仍然存在呢?还没有明显的解决方案呢?

PsSetLoadImageNotifyRoutine被引入通知机制,通知应用程序开发人员新注册的驱动程序。 此外,该机制还与防病毒软件集成,以便检测对驱动程序进行更改的恶意软件。

 

另一方面,微软并不认为这是一个潜在的安全问题,根据研究人员的说法,这个bug有些已知。 由于根本原因和其他细节仍然不可用,很难证实自己的要求。