Windows内核再次出现0Day漏洞 影响win2000到win10所有版本 反病毒软件恐成瞎子

简介:

从 windows 2000 到 windows 10 的最新版本, 所有操作系统的 PsSetLoadImageNotifyRoutine 中都发现了 Microsoft 内核漏洞。漏洞存在于 Microsoft 提供给安全供应商的 API 中, 是为了让他们知道操作系统正在加载的文件,如果这个API出现问题,防病毒软件就成了瞎子。

问题出在Windows回调机制PsSetLoadImageNotifyRoutine

Microsoft 在 Windows 2000 中启动了 PsSetLoadImageNotifyRoutine, 以便将 PE 映像文件加载或映射到内存中时, 在内核的不同部分通知注册的驱动程序。最高级别的系统分析驱动程序可以调用它,来设置其加载映像通知例程。

enSilo 安全公司的研究人员在挖掘 Windows 内核漏洞时,发现了微软 API 中的这个一个缺陷。他们注意到, 在用内核注册加载PE 映像的通知例程之后, 回调可能会收到无效的图像名称。完整的技术见如下地址

https://breakingmalware.com/documentation/windows-pssetloadimagenotifyroutine-callbacks-good-bad-unclear-part-1/

这属于windows内核漏洞 影响windows 2000到  windows 10的所有版本

这个问题最初被认为是一个随机问题, 但实际上植根于内核。enSilo 创始人兼首席技术官 Udi Yavo 解释道

"该 漏洞存在于 Microsoft 提供给安全供应商的 API 中, 是为了让他们知道操作系统正在加载的文件,"

如果API 无法正常工作, 可能会提供给供应商无效的文件, 可能会导致供应商无法识别恶意软件。

enSilo 安全研究员暗 Misgav 在上面那篇博客文章中指出, 编程错误可能会阻止供应商和内核开发人员,识别在运行时加载哪些模块。这意味着攻击者可以将恶意模块 (伪装成合法的) 加载到 Windows 环境中, 而不会触发警报。

"这意味着像 rootkit 和勒索这样的 恶意软件 可能会规避安装的监控软件, 如防病毒和基于主机的入侵检测,"

0Day研究所的通信经理 Dustin Childs说。

"这个漏洞虽然影响 windows 2000到  windows 10的所有版本,但也不用过于震惊。

"Windows 的历史悠久, 代码跨越多个版本并不少见,"

虽然此漏洞无法直接威胁到 Windows OS, 但威胁参与者可以利用此漏洞绕过供应商使用 Microsoft API 的某些系统。依赖于 API 的产品将无法检测潜在的恶意文件, 从而使攻击者能够在企业系统中获得立足点。Yavo 指出

"我们已经向微软报告了这个问题," ,而且自己公司也没打算创建一个补丁。虽然他不认为这个特定的问题很容易被利用, 但也很难知道攻击者是否使用了它。

截至本文发布时 微软尚未回复 更没有补丁

这项研究虽然有趣, 但仍在进行中, Childs说。

"在研究完成之前, 利用可能无法确定是否有攻击者利用该漏洞"

"在此之前, 企业应该意识到, 没有任何产品或技术是万无一失的。

应该使用多种工具和技术来提供最佳的可用保护。

即使目前没有补丁, Childs建议企业将重点放在提高整体防御能力的策略上。他表示:

"网络隔离、监控、反病毒和补丁等技术,有助于提高企业的安全态势, 而不只是考虑单个 漏洞"

您永远无法阻止所有 漏洞, 但您可以将自己置于一个良好的位置, 以便在攻击您的系统时发现这些漏洞。

Yavo 说, 该研究小组仍在进行这项研究, 并将在发现的时候释放更多的成果。



原文发布时间:2017年9月7日 

本文由:darkreading发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/windows-kernel-0day#

本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

相关文章
|
4月前
|
Windows
如何查看自己电脑的windows系统版本?
这篇文章提供了一种简单快捷的方法来查看自己电脑的Windows系统版本,通过使用Windows的"运行"功能并输入`winver`命令来快速获取系统版本信息。
如何查看自己电脑的windows系统版本?
|
3月前
|
iOS开发 MacOS Windows
Mac air使用Boot Camp安装win10 ,拷贝 Windows 文件时出错
Mac air使用Boot Camp安装win10 ,拷贝 Windows 文件时出错
|
3月前
|
安全 Java 应用服务中间件
Windows版本的Tomcat无法启动,如何处理?
Windows版本的Tomcat无法启动,如何处理?
238 14
|
2月前
|
并行计算 开发工具 异构计算
在Windows平台使用源码编译和安装PyTorch3D指定版本
【10月更文挑战第6天】在 Windows 平台上,编译和安装指定版本的 PyTorch3D 需要先安装 Python、Visual Studio Build Tools 和 CUDA(如有需要),然后通过 Git 获取源码。建议创建虚拟环境以隔离依赖,并使用 `pip` 安装所需库。最后,在源码目录下运行 `python setup.py install` 进行编译和安装。完成后即可在 Python 中导入 PyTorch3D 使用。
254 0
|
3月前
|
XML JSON C#
有哪些让你「 爽到爆炸 」的 Windows 软件?
有哪些让你「 爽到爆炸 」的 Windows 软件?
|
3月前
|
Windows
【收藏】每个Windows XP版本的缩写
【收藏】每个Windows XP版本的缩写
|
4月前
|
Ubuntu Linux 虚拟化
安装Windows Linux 子系统的方法:适用于windows 11 版本
本文提供了在Windows 11系统上安装Linux子系统(WSL)的详细步骤,包括启用子系统和虚拟化功能、从Microsoft Store安装Linux发行版、设置WSL默认版本、安装WSL2补丁,以及完成Ubuntu的首次安装设置。
1175 2
|
4月前
|
芯片 iOS开发 MacOS
Mac上运行windows软件-GPTK
Mac上运行windows软件-GPTK
221 1
|
3月前
|
Linux 网络虚拟化 Windows
ccproxy windows上用的代理软件(类似linux系统上的squid)
ccproxy windows上用的代理软件(类似linux系统上的squid)
|
4月前
|
负载均衡 网络协议 安全
【Azure 应用服务】Azure Web App的服务(基于Windows 操作系统部署)在被安全漏洞扫描时发现了TCP timestamps漏洞
【Azure 应用服务】Azure Web App的服务(基于Windows 操作系统部署)在被安全漏洞扫描时发现了TCP timestamps漏洞