Windows内核存在漏洞,影响Windows2000到Windows10所有版本

研究人员最近发现一枚Windows内核0day漏洞,影响Windows2000到Windows10所有版本。恶意软件可利用该漏洞躲过安全软件的检测,但该漏洞利用难度较大。攻击者利用该漏洞可以绕过病毒查杀系统,运行恶意软件。该漏洞影响安全解决方案中的PsSetLoadImageNotifyRoutine机制,该机制用来识别代码何时进入内核或用户空间。

漏洞利用

因为PsSetLoadImageNotifyRoutine会返回一个无效的模块名,因此攻击者可以利用将恶意应用伪装成合法的操作。

该漏洞影响过去17年发布的所有Windows版本。enSilo的研究人员在分析Windows内核代码时发现了该漏洞。并称该漏洞影响Windows 2000之后的所有Windows版本(包括Windows 10最新发布的版本)。

PsSetLoadImageNotifyRoutine是微软引入的一个通知机制,用来通知应用开着新注册的驱动。当PE镜像进入虚拟内存时,系统同样可以检测到,因此该反病毒软件也利用该机制来检测恶意软件的恶意行为。

微软可能不会发布补丁

研究人员Misgav 与Microsoft Security Response Center确认过,但微软并不认为这是一个安全问题,问题的关键是一些安全软件依赖该机制检测软件的恶意行为。这项研究目前仍在继续,后期或会发布更多研究成果。

关于PsSetLoadImageNotifyRoutine的运行机制和具体技术细节,请点我


企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。

2017-09-11
Windows内核存在漏洞,影响Windows2000到Windows10所有版本
研究人员最近发现一枚Windows内核0day漏洞,影响Windows2000到Windows10所有版本。恶意软件可利用该漏洞躲过安全软件的检测,但该漏洞利用难度较大。

长按扫码 阅读全文

Baidu
map