Un bogue dans le kernel pourrait empêcher des solutions de sécurité de détecter des malwares

**Patrick Ruiz** · 10/09/2017, 17h28

Un bogue dans le kernel pourrait empêcher des solutions de sécurité de détecter des malwares
Sous Windows 2000 à Windows 10

Les chercheurs en sécurité de la startup israélienne enSilo préviennent les éditeurs de solutions de sécurité et les développeurs de l’existence d’un bogue dans le kernel Windows. Ce dernier pourrait permettre à des cybercriminels de lancer des actions malicieuses en trompant des solutions de sécurité qui s’appuient sur une certaine API.

Le bogue affecte une interface de bas niveau connue sous le nom de PsSetLoadImageNotifyRoutine. Il s’agit d’un mécanisme présumément utilisé par certaines solutions de sécurité pour savoir que du code a été injecté dans l’espace mémoire kernel ou utilisateur. Le problème est qu’une solution de sécurité qui se base sur les informations fournies par cette routine peut être redirigée vers un module autre que celui sur lequel il est nécessaire de garder un œil, toute chose qu’un malware pourrait exploiter pour empêcher qu’une solution antivirus ne scanne de portions de code lui appartenant en mémoire.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
PLOAD_IMAGE_NOTIFY_ROUTINE SetLoadImageNotifyRoutine;

void SetLoadImageNotifyRoutine(
  _In_opt_ PUNICODE_STRING FullImageName,
  _In_     HANDLE          ProcessId,
  _In_     PIMAGE_INFO     ImageInfo,
  _In_     BOOLEAN         Create
)

Le bogue a été découvert par les chercheurs de la startup enSilo plongés dans leur exploration du Kernel Windows. Omri Misgav, chercheur chez enSilo et auteur de la découverte, affirme que toutes les versions du système d’exploitation de Windows 2000 à Windows 10 sont concernées par ce bogue. L’interface a en effet été introduite sous Windows 2000 selon ce qu’explique le chercheur et serait utilisée depuis lors par certains éditeurs de sécurité pour détecter certains types d’opérations malicieuses.

De rares internautes font état de problèmes similaires rencontrés avec cette interface. Il semblerait bien que ce soit la première fois que des chercheurs développent de manière aussi exhaustive à son sujet. Contacté par les chercheurs d’enSilo, Microsoft aurait répondu que cet état de choses ne nécessite pas une réponse avec un correctif de sécurité comme c’est le cas dans la plupart des cas.

Il faudrait noter qu’il s’est écoulé 17 années depuis la sortie de Windows 2000. Jusqu'ici, aucun éditeur de solution de sécurité n’a fait état de cette situation, du moins dans un billet de blog aussi détaillé, ce qui laisse penser que les développeurs d’antivirus utilisent d’autres interfaces pour pouvoir garder un œil sur les mouvements mémoire des processus d’intérêt.

Sources : billet de blog enSilo, ThreatPost

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

le forum sécurité