Microsoft non rilascerà un aggiornamento di sicurezza nonostante una società di ricerca sulla sicurezza informatica affermi di aver scoperto un bug nell'API PsSetLoadImageNotifyRoutine che gli sviluppatori di malware dannosi potrebbero utilizzare per eludere il rilevamento da parte di software anti-malware di terze parti. La società di software non crede che detto bug presenti alcun rischio per la sicurezza.

Un ricercatore di sicurezza di enSilo, Omri Misgav, ha scoperto un "errore di programmazione" nell'interfaccia di basso livello PsSetLoadImageNotifyRoutine che può essere ingannato dagli hacker per consentire al software dannoso di passare oltre gli antivirus di terze parti senza essere rilevato.

Quando funziona correttamente, l'API dovrebbe avvisare i driver, inclusi quelli utilizzati da software anti-malware di terze parti, quando un modulo software viene caricato in memoria. Gli antivirus possono quindi utilizzare l'indirizzo fornito dall'API per tracciare e scansionare i moduli prima del caricamento. Misgav e il suo team hanno scoperto che PsSetLoadImageNotifyRoutine non restituisce sempre l'indirizzo corretto.

La conseguenza? Gli hacker furbi possono utilizzare la scappatoia per indirizzare in modo errato il software anti-malware e consentire l'esecuzione di software dannoso senza rilevamento. Microsoft afferma che i suoi ingegneri hanno esaminato le informazioni fornite da enSilo e determinato che il presunto bug non presenta una minaccia alla sicurezza.

enSilo stesso non ha testato alcun antivirus di terze parti per dimostrare le sue paure, anche se afferma che non impiegherà un geniale hacker per sfruttare questo bug nel kernel di Windows. Non è chiaro se Microsoft rilascerà una patch per correggere il bug negli aggiornamenti futuri o se hanno sempre saputo del bug e hanno altre misure di sicurezza per fermare la minaccia.

L'API stessa non è nuova per il sistema operativo Windows. È stato scritto per la prima volta nel sistema operativo nella build 2000 ed è stato mantenuto per tutte le versioni successive, incluso l'attuale Windows 10. Ciò sembrerebbe troppo lungo perché un difetto del sistema operativo Windows non venga sfruttato dagli sviluppatori di malware.

Forse non c'è stata ancora alcuna violazione della sicurezza attraverso questo bug del kernel di Windows perché gli hacker non l'avevano ancora scoperto. Bene, ora lo sanno. E dal momento che Microsoft non farà nulla riguardo al bug, resta da vedere cosa farà questa opportunità alla comunità di hacker sempre intraprendente. Forse questo ci dirà se Microsoft ha ragione su questo bug che non rappresenta una minaccia per la sicurezza.