Le bogue affecte une interface de bas niveau connue sous le nom de PsSetLoadImageNotifyRoutine. Il s’agit d’un mécanisme présumément utilisé par certaines solutions de sécurité pour savoir que du code a été injecté dans l’espace mémoire kernel ou utilisateur. Le problème est qu’une solution de sécurité qui se base sur les informations fournies par cette routine peut être redirigée vers un module autre que celui sur lequel il est nécessaire de garder un œil, toute chose qu’un malware pourrait exploiter pour empêcher qu’une solution antivirus ne scanne de portions de code lui appartenant en mémoire.
Code : | Sélectionner tout |
1 2 3 4 5 6 7 8 | PLOAD_IMAGE_NOTIFY_ROUTINE SetLoadImageNotifyRoutine; void SetLoadImageNotifyRoutine( _In_opt_ PUNICODE_STRING FullImageName, _In_ HANDLE ProcessId, _In_ PIMAGE_INFO ImageInfo, _In_ BOOLEAN Create ) |
Le bogue a été découvert par les chercheurs de la startup enSilo plongés dans leur exploration du Kernel Windows. Omri Misgav, chercheur chez enSilo et auteur de la découverte, affirme que toutes les versions du système d’exploitation de Windows 2000 à Windows 10 sont concernées par ce bogue. L’interface a en effet été introduite sous Windows 2000 selon ce qu’explique le chercheur et serait utilisée depuis lors par certains éditeurs de sécurité pour détecter certains types d’opérations malicieuses.
De rares internautes font état de problèmes similaires rencontrés avec cette interface. Il semblerait bien que ce soit la première fois que des chercheurs développent de manière aussi exhaustive à son sujet. Contacté par les chercheurs d’enSilo, Microsoft aurait répondu que cet état de choses ne nécessite pas une réponse avec un correctif de sécurité comme c’est le cas dans la plupart des cas.
Il faudrait noter qu’il s’est écoulé 17 années depuis la sortie de Windows 2000. Jusqu'ici, aucun éditeur de solution de sécurité n’a fait état de cette situation, du moins dans un billet de blog aussi détaillé, ce qui laisse penser que les développeurs d’antivirus utilisent d’autres interfaces pour pouvoir garder un œil sur les mouvements mémoire des processus d’intérêt.
Sources : billet de blog enSilo, ThreatPost
Et vous ?
Qu’en pensez-vous ?
Voir aussi :
le forum sécurité