I bug rappresentano sicuramente un inconveniente per gli utenti e fungono da percorsi per consentire agli aggressori di accedere a un sistema. In effetti, un bug è più simile a una backdoor sbloccata. Recentemente è stato scoperto che gli sviluppatori di malware saranno in grado di sfruttare un errore di programmazione nel kernel di Windows e di non essere rilevati. I moduli dannosi verranno caricati in fase di esecuzione e anche questi possono evitare con successo il rilevamento.

Apparentemente il bug influenza PsSetLoadImageNotifyRoutine, uno dei meccanismi impiegati dalle soluzioni di sicurezza per identificare se il codice è stato caricato nel kernel o nello spazio utente. Gli aggressori possono sfruttare questo bug in modo tale che PsSetLoadImageNotifyRoutine genera un nome di modulo non valido e, con ciò, l'attaccante maschererà il malware come un'operazione legittima.

La parte peggiore, tuttavia, è che il bug riguarda tutte le versioni di Windows che sono state rilasciate da Windows 2000. Tuttavia, il problema è emerso solo quando Omri Misgav, ricercatore di sicurezza di enSilo, lo ha scoperto durante l'analisi del codice del kernel di Windows. L'errore è stato ereditato anche da Windows 10.

A questo punto eravamo sicuri di aver capito quali sono le cause del problema, ma ciò che ci ha eluso è stato come può essere che questo bug esista ancora? E non esiste una soluzione ovvia per questo?

PsSetLoadImageNotifyRoutine è stato introdotto come meccanismo di notifica per notificare agli sviluppatori di app i driver appena registrati. Inoltre, il meccanismo è stato integrato anche con un software antivirus per consentire il rilevamento di malware che ha apportato modifiche ai driver.

Microsoft, d'altra parte, non vede questo come un potenziale problema di sicurezza e, secondo i ricercatori, il bug era in qualche modo noto. Poiché la sua causa principale e altri dettagli non sono ancora disponibili, è molto difficile comprovare le loro affermazioni.