Kali ini ditemukan bug di kernel Microsoft Windows yang dapat mencegah beberapa perangkat lunak keamanan mendeteksi malware saat runtime dan saat dimuat ke memori sistem.
Masalah keamanan yang dijelaskan oleh peneliti keamanan EnSilo, Omri Misgav, berada dalam rutinitas kernel “PsSetLoadImageNotifyRoutine,” yang tampaknya mempengaruhi semua versi sistem operasi Windows sejak Windows 2000.
Windows memiliki built-in API, yang disebut PsSetLoadImageNotifyRoutine, yang membantu program memantau jika ada modul baru yang dimasukkan ke memori. Setelah terdaftar, program menerima pemberitahuan setiap kali sebuah modul dimuat ke memori. Pemberitahuan ini mencakup jalur ke modul pada disk.
Namun, Misgav mengatakan bahwa karena “perilaku caching, bersamaan dengan cara pengantar sistem file yang mempertahankan nama file dan kesalahan pengkodean yang parah,” fungsinya tidak selalu mengembalikan jalur yang benar dari modul yang dimuat.
Namun sepertinya Microsoft tidak memiliki rencana untuk mengatasi masalah ini, karena raksasa perangkat lunak tersebut tidak menganggapnya sebagai kerentanan keamanan.
“Bug ini bisa memiliki implikasi keamanan bagi mereka yang tidak mengetahui keberadaannya. Kami percaya bahwa jika Microsoft tidak berencana memperbaiki bug ini, setidaknya mereka harus secara eksplisit memperingatkan pengembang tentang hal itu dalam dokumentasi mereka,” kata Tal Liberman, kepala dari tim peneliti di EnSilo.
Para periset percaya bahwa “kesalahan program” ini secara teoritis dapat digunakan oleh pembuat malware untuk melewati deteksi antivirus – terutama produk keamanan yang mengandalkan API ini untuk memeriksa apakah ada kode berbahaya yang dimasukkan ke dalam memori – menggunakan serangkaian operasi file untuk menyesatkan mesin pemindaian agar membuat kesalahan.
Jadi, jika produk deteksi dan respons endpoint bergantung pada API, sebaiknya pertimbangkan untuk tidak menggunakannya atau harus menerapkan solusi yang diperkenalkan oleh peneliti untuk mengatasi celah kesalahan tersebut.
Dalam posting blog yang terpisah, Misgav menyarankan pengembang perangkat lunak untuk menggunakan API Windows lain (FltGetFileNameInformationUnsafe) untuk memeriksa keabsahan jalur modul dengan menggunakan parameter objek file.
Untuk penjelasan lebih teknis, kamu bisa masuk ke blog EnSilo.
