Microsoft wird kein Sicherheitsupdate veröffentlichen, obwohl ein Cybersicherheitsforschungsunternehmen behauptet, es habe einen Fehler in der PsSetLoadImageNotifyRoutine-API entdeckt, den böswillige Malware-Entwickler verwenden könnten, um der Erkennung durch Anti-Malware-Software von Drittanbietern zu entgehen. Das Softwareunternehmen glaubt nicht, dass dieser Fehler ein Sicherheitsrisiko darstellt.

Ein Sicherheitsforscher bei enSilo, Omri Misgav, entdeckte in der Low-Level-Oberfläche PsSetLoadImageNotifyRoutine einen „Programmierfehler“, der von Hackern ausgetrickst werden kann, damit bösartige Software ohne Erkennung an Antiviren von Drittanbietern vorbeikommt.

Wenn es ordnungsgemäß funktioniert, soll die API Treiber, einschließlich der von Anti-Malware-Software von Drittanbietern verwendeten, benachrichtigen, wenn ein Softwaremodul in den Speicher geladen wird. Virenschutzprogramme können dann die von der API bereitgestellte Adresse verwenden, um Module vor der Ladezeit zu verfolgen und zu scannen. Misgav und sein Team haben festgestellt, dass PsSetLoadImageNotifyRoutine nicht immer die richtige Adresse zurückgibt.

Die Konsequenz? Geschickte Hacker können die Lücke nutzen, um Anti-Malware-Software fehlzuleiten und zuzulassen, dass schädliche Software ohne Erkennung ausgeführt wird. Laut Microsoft haben sich die Ingenieure die Informationen von enSilo angesehen und festgestellt, dass der vermeintliche Fehler keine Sicherheitsbedrohung darstellt.

enSilo selbst hat kein Antivirenprogramm von Drittanbietern getestet, um seine Befürchtungen zu beweisen, obwohl es angeblich keinen genialen Hacker braucht, um diesen Fehler im Windows-Kernel auszunutzen. Es ist unklar, ob Microsoft einen Patch veröffentlicht, um den Fehler in zukünftigen Updates zu beheben, oder ob Microsoft den Fehler schon immer kannte und über andere Sicherheitsvorkehrungen verfügt, um die Bedrohung zu stoppen.

Die API selbst ist für das Windows-Betriebssystem nicht neu. Es wurde zum ersten Mal im Jahr 2000 in das Betriebssystem geschrieben und für alle nachfolgenden Versionen, einschließlich des aktuellen Windows 10, beibehalten. Dies scheint zu lang zu sein, als dass ein Windows-Betriebssystemfehler von Malware-Entwicklern nicht ausgenutzt werden könnte.

Vielleicht gab es noch keine Sicherheitslücke durch diesen Windows-Kernel-Fehler, weil Hacker ihn noch nicht entdeckt hatten. Nun, jetzt wissen sie es. Und da Microsoft nichts gegen den Fehler unternehmen wird, bleibt abzuwarten, was die stets unternehmungslustige Hacker-Community aus dieser Gelegenheit machen wird. Vielleicht sagt uns das, ob Microsoft Recht hat, dass dieser Fehler keine Sicherheitsbedrohung darstellt.