با ما به‌روز باشید!
info@nsec.ir
(+98)-313-3915336

ضعف امنیتی هسته ویندوز که مایکروسافت آن را رفع نمی‌کند!!

خلاصه: یک نقص طراحی در هسته‌ی ویندوز وجود دارد که می‌تواند توسط مهاجمان برای فرار از آنتی‌ویروس‌ها و جلوگیری از شناسایی بدافزار‌ها استفاده شود. این آسیب‌پذیری بر روی فراخوانی سیستمی PsSetLoasdImageNotifyRoutine تاثیر می‌گذارد. این مشکل به مایکروسافت گزارش شده است اما مایکروسافت اعلام کرده است که برای حل این مشکل برنامه‌ای نخواهد داشت!

 

مایکروسافت تایید کرد که مسئله‌ی کرنل را که می‌تواند برای فرار از آنتی‌ویروس مورد استفاده قرار گیرد حل نخواهد کرد

یک نقص طراحی در هسته‌ی ویندوز می‌تواند توسط مهاجمان برای فرار از آنتی‌ویروس‌ها و جلوگیری از شناسایی بدافزار‌ها استفاده شود.

این نقص طراحی در ویندوز اصلی‌ترین دلیل برای جلوگیری از شناسایی بدافزار توسط آنتی‌ویروس می‌تواند باشد، و خبر بد این است که مایکروسافت این مشکل را برطرف نخواهد کرد، چراکه این غول تکنولوژی آن را به عنوان یک مسئله‌ی امنیتی در نظر نمی‌گیرد!!

این آسیب‌پذیری چند روز گذشته توسط یک محقق امنیتی از enSilo کشف شد. این آسیب‌پذیری بر روی فراخوانی سیستم PsSetLoadImageNotifyRoutine که هنوز در آخرین نسخه‌های سیستم‌عامل‌های مایکروسافت فعال است تاثیر می‌گذارد.

PsSetLoadImageNotifyRoutine توسط آنتی‌ویروس‌ها نیز برای بررسی وجود نرم‌افزارهای مخرب در حافظه مورد استفاده قرار می‌گیرد. اما این مسئله می‌تواند برای فریب راه حل‌های دفاعی نیز استفاده شود.

پس از ثبت یک روال اعلان برای فایل PE بارگذاری شده توسط هسته، امکان این‌که فراخوانی دوباره  یک اسم نامعتبر را دریافت کند وجود دارد ، و این از یک خطای برنامه‌نویسی در هسته‌ی ویندوز نشأت می‌گیرد.

این مکانیزم درایورهای ثبت‌شده را وقتی که یک فایل PE در حافظه‌ی مجازی بارگذاری شده آگاه می‌سازد.

این روال اعلان می‌تواند در موارد زیر مورد استفاده قرار گیرد:

  • بارگذاری درایورها
  • شروع پروسه‌ی جدید
    • پردازش image اجرایی
    • System DLL: ntdll.dll (2 different binaries for WoW64 processes)
  • PE Image های بارگذاری شده به صورت runtime- جدول import، LoadLibrary، LoadlibraryEX، NtMapViewOfSection
  • این آسیب‌پذیری می‌تواند توسط بدافزار‌ها مورد سواستفاده قرار گیرد.

enSilo این مشکل را به مایکروسافت گزارش داد و پاسخ آن‌ها این بود:

" مهندسان ما این اطلاعات را بررسی کرده و تصدیق می‌کنند که این یک تهدید امنیتی نیست و ما برنامه‌ای برای حل کردن این مشکل با یک به‌روزرسانی امنیتی نداریم!!"