Recientemente se ha detectado un grave error en el kernel de Windows. Error que puede ser abusado de forma sencilla por los creadores de malware. El error en cuestión afecta a a PsSetLoadImageNotifyRoutine. Se trata de uno de los mecanismos de bajo nivel que es usado por algunas soluciones de seguridad para identificar cuándo se ha cargado el código en el núcleo.
Un fallo en el kernel de Windows impide identificar malware
Por tanto, un atacante puede explotar este error haciendo que PsSetLoadImageNotifyRoutine devuelva un nombre de módulo que no es válido. Esto permite al hacker disfrazar el malware como si se tratara de una operación corriente. El fallo en cuestión fue detectado a comienzos de año y los investigadores que lo han descubierto dicen que el fallo afecta a todas las versiones de Windows lanzadas desde Windows 2000.
Fallo en el kernel de Windows
Al parecer, en las pruebas realizadas, se ha visto que el fallo ha sobrevivido a todas las versiones. Por lo que tras 17 años sigue presente. Microsoft introdujo en su día el mecanismo de notificación PsSetLoadImageNotifyRoutine como una manera de notificar mediante programación a los desarrolladores. Ya que este sistema podía detectar si se carga una imagen en la memoria virtual, se decidió integrarlo con el software del antivirus para detectar operaciones maliciosas.
El principal problema es que el software de seguridad se basa en este método a la hora de detectar algunas operaciones maliciosas. Algo que parece aumentar el riesgo de este fallo. Sin duda un grave error por parte de Microsoft, que debe ser solucionado, ya que todas las versiones de Windows están afectadas.
[irp]
De momento no hay una solución concreta a este fallo. De hecho, Microsoft no ha ofrecido reacción alguna. Para los usuarios con distintas versiones de Windows, la recomendación es la habitual. Mantener el ordenador siempre actualizado y protegido.