Ein Fehler im Windows-Kernel verhindert die Identifizierung von Malware

Kürzlich wurde im Windows-Kernel ein schwerwiegender Fehler festgestellt. Fehler, der von Malware-Erstellern leicht missbraucht werden kann. Der betreffende Fehler betrifft PsSetLoadImageNotifyRoutine. Dies ist einer der Mechanismen auf niedriger Ebene, die von einigen Sicherheitslösungen verwendet werden, um festzustellen, wann Code in den Kernel geladen wurde.

Ein Fehler im Windows-Kernel verhindert die Identifizierung von Malware

Daher kann ein Angreifer diesen Fehler ausnutzen, indem er PsSetLoadImageNotifyRoutine veranlasst, einen ungültigen Modulnamen zurückzugeben. Dadurch kann der Hacker die Malware so tarnen, als wäre es ein normaler Vorgang. Der fragliche Fehler wurde Anfang dieses Jahres entdeckt, und Forscher, die ihn entdeckt haben, sagen, dass der Fehler alle seit Windows 2000 veröffentlichten Windows-Versionen betrifft.

Windows-Kernel-Absturz

Anscheinend wurde bei den durchgeführten Tests festgestellt, dass der Fehler alle Versionen überlebt hat. Nach 17 Jahren ist es also immer noch vorhanden. Microsoft hat einmal den Benachrichtigungsmechanismus PsSetLoadImageNotifyRoutine eingeführt, um Entwickler programmgesteuert zu benachrichtigen. Da dieses System erkennen konnte, ob ein Image in den virtuellen Speicher geladen ist, wurde beschlossen, es in die Antivirensoftware zu integrieren, um böswillige Vorgänge zu erkennen.

Das Hauptproblem besteht darin, dass Sicherheitssoftware diese Methode verwendet, um einige böswillige Vorgänge zu erkennen. Etwas, das das Risiko dieses Ausfalls zu erhöhen scheint. Ohne Zweifel ein schwerwiegender Fehler von Microsoft, der behoben werden muss, da alle Windows-Versionen betroffen sind.

Derzeit gibt es keine konkrete Lösung für diesen Fehler. Tatsächlich hat Microsoft keine Reaktion angeboten. Für Benutzer mit verschiedenen Windows-Versionen ist die Empfehlung die übliche. Halten Sie Ihren Computer immer auf dem neuesten Stand und geschützt.