从 windows 2000 到 windows 10 的最新版本, 所有操作系统的 PsSetLoadImageNotifyRoutine 中都发现了 Microsoft 内核漏洞。漏洞存在于 Microsoft 提供给安全供应商的 API 中, 是为了让他们知道操作系统正在加载的文件,如果这个API出现问题,防病毒软件就成了瞎子。
问题出在Windows回调机制PsSetLoadImageNotifyRoutine
Microsoft 在 Windows 2000 中启动了 PsSetLoadImageNotifyRoutine, 以便将 PE 映像文件加载或映射到内存中时, 在内核的不同部分通知注册的驱动程序。最高级别的系统分析驱动程序可以调用它,来设置其加载映像通知例程。
enSilo 安全公司的研究人员在挖掘 Windows 内核漏洞时,发现了微软 API 中的这个一个缺陷。他们注意到, 在用内核注册加载PE 映像的通知例程之后, 回调可能会收到无效的图像名称。完整的技术见如下地址
https://breakingmalware.com/documentation/windows-pssetloadimagenotifyroutine-callbacks-good-bad-unclear-part-1/
这属于windows内核漏洞 影响windows 2000到 windows 10的所有版本
这个问题最初被认为是一个随机问题, 但实际上植根于内核。enSilo 创始人兼首席技术官 Udi Yavo 解释道
"该 漏洞存在于 Microsoft 提供给安全供应商的 API 中, 是为了让他们知道操作系统正在加载的文件,"
如果API 无法正常工作, 可能会提供给供应商无效的文件, 可能会导致供应商无法识别恶意软件。
enSilo 安全研究员暗 Misgav 在上面那篇博客文章中指出, 编程错误可能会阻止供应商和内核开发人员,识别在运行时加载哪些模块。这意味着攻击者可以将恶意模块 (伪装成合法的) 加载到 Windows 环境中, 而不会触发警报。
0Day研究所的通信经理 Dustin Childs说。
"这个漏洞虽然影响 windows 2000到 windows 10的所有版本,但也不用过于震惊。
"Windows 的历史悠久, 代码跨越多个版本并不少见,"
虽然此漏洞无法直接威胁到 Windows OS, 但威胁参与者可以利用此漏洞绕过供应商使用 Microsoft API 的某些系统。依赖于 API 的产品将无法检测潜在的恶意文件, 从而使攻击者能够在企业系统中获得立足点。Yavo 指出
"我们已经向微软报告了这个问题," ,而且自己公司也没打算创建一个补丁。虽然他不认为这个特定的问题很容易被利用, 但也很难知道攻击者是否使用了它。
截至本文发布时 微软尚未回复 更没有补丁
这项研究虽然有趣, 但仍在进行中, Childs说。
"在研究完成之前, 利用可能无法确定是否有攻击者利用该漏洞"
"在此之前, 企业应该意识到, 没有任何产品或技术是万无一失的。
应该使用多种工具和技术来提供最佳的可用保护。
即使目前没有补丁, Childs建议企业将重点放在提高整体防御能力的策略上。他表示:
"网络隔离、监控、反病毒和补丁等技术,有助于提高企业的安全态势, 而不只是考虑单个 漏洞"
您永远无法阻止所有 漏洞, 但您可以将自己置于一个良好的位置, 以便在攻击您的系统时发现这些漏洞。
Yavo 说, 该研究小组仍在进行这项研究, 并将在发现的时候释放更多的成果。
原文发布时间:2017年9月7日
本文由:darkreading发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/windows-kernel-0day#
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站
