Bugs sind definitiv eine Unannehmlichkeit für Benutzer, da sie Angreifern den Zugriff auf ein System ermöglichen. In der Tat ist ein Bug eher wie eine unverschlossene Hintertür. Es wurde kürzlich entdeckt, dass Malware-Entwickler einen Programmierfehler im Windows-Kernel ausnutzen und unentdeckt bleiben können. Die böswilligen Module werden zur Laufzeit geladen und selbst diese können die Erkennung erfolgreich verhindern.

Der Fehler betrifft anscheinend PsSetLoadImageNotifyRoutine, einen der von Sicherheitslösungen verwendeten Mechanismen, um festzustellen, ob Code in den Kernel oder den Benutzerbereich geladen wurde. Angreifer können diesen Fehler so ausnutzen, dass die PsSetLoadImageNotifyRoutine einen ungültigen Modulnamen ausgibt und der Angreifer damit die Malware als legitimen Vorgang tarnt.

Das Schlimmste ist jedoch, dass der Fehler alle Windows-Versionen betrifft, die seit Windows 2000 veröffentlicht wurden. Das Problem trat jedoch erst zutage, als Omri Misgav, Sicherheitsforscher bei enSilo, es bei der Analyse des Windows-Kernel-Codes entdeckte. Der Fehler wurde auch von Windows 10 übernommen.

Zu diesem Zeitpunkt waren wir sicher, dass wir herausgefunden haben, was das Problem verursacht. Was uns jedoch entgangen ist, ist, wie es sein kann, dass dieser Fehler immer noch existiert. Und es gibt keine offensichtliche Lösung dafür?

PsSetLoadImageNotifyRoutine wurde als Benachrichtigungsmechanismus eingeführt, um App-Entwickler über neu registrierte Treiber zu benachrichtigen. Darüber hinaus wurde der Mechanismus auch in Antivirensoftware integriert, um die Erkennung von Malware zu ermöglichen, die Änderungen an Treibern vorgenommen hat.

Microsoft sieht dies jedoch nicht als potenzielles Sicherheitsproblem an, und laut Forschern war der Fehler einigermaßen bekannt. Da die Hauptursache und andere Details noch nicht verfügbar sind, ist es sehr schwierig, ihre Behauptungen zu belegen.