خطای کرنل ویندوز، مانع شناسایی نرم افزار های مخرب می‌شود

به گفته محققان، خطای هسته ویندوز از زمان ویندوز ۲۰۰۰ وجود دارد.

محققان امنیتی enSilo ادعا می کنند که یک اشکال در کرنل نسخه هایی از ویندوز که در دهه گذشته منتشر شده بودند، وجود داشت و نیمی از آن همچنان بدون تعمیر باقی مانده است.

محققان امنیتی ادعا کرده اند که یک اشکال در کرنل ویندوز کشف کرده اند که در نتیجه یک خطای برنامه نویسی به وجود آمده و نمی گذارد فروشندگان امنیتی ماژول های بارگیری شده در زمان اجرا را شناسایی کنند.

محققان می گویند این مسئله روی PsSetLoadImageNotifyRoutine، که یک تابع برای اعلان بارگیری ماژول ها است، تاثیر می گذارد. با این حال، محققان دریافتند پس از ثبت یک روال اعلان برای تصاویر PE لود شده توسط کرنل، ممکن است فراخوان نام های نامعتبر برای تصاویر دریافت کند.

آنها می گویند: « این مسئله روی ویندوز ۱۰ که اخیرا منتشر شده و تمام نسخه های قبلی تا ویندوز ۲۰۰۰ تاثیر گذاشته است. هنگام فراخوانی روال اعلان ثبت شده، کرنل مجموعه ای از پارامتر ها را برای شناسایی مناسب تصویر PE که در حال بارگذاری است، فراهم می کند. این پارامترها در تعریف اولیه از عملکرد فراخوانی برگشتی گنجانده شده اند.

درحالی که مایکروسافت استفاده از فراخوانی‌ برگشتی فایل سیستم برای نظارت بر PEهایی که مانند کد قابل اجرا در حافظه بارگیری می‌شوند را توصیه می کند، محققان استنتاج می کنند که این روش نمی تواند برای تشخیص اینکه آیا شئ سکشن، برای بارگذاری یک تصویر PE، ایجاد شده است یا خیر، مورد استفاده قرار گیرد.

محققان enSilo توضیح می دهند: پارامتری که می تواند فایل PE بارگذاری شده را به‌طور موثر شناسایی کند، پارامتر FullImageName است، اما همچنین این نکته را ذکر می کنند که کرنل از فرمت های مختلف برای FullImageName استفاده می کند و مسیرهایی که برای بعضی از PEهای حالت کاربر که به صورت پویا بارگیری شده اند، نام برچسب را فراموش می کنند. علاوه بر این، در بعضی موارد، مسیر کاملا نادرست است، حتی به یک فایل متفاوت یا ناموجود اشاره می‌کند.

محققان در نهایت نتیجه گیری کردند که مدیر کش مسئول خطاهای دریافت شده است. محققان امنیتی می گویند: «چیزی که به عنوان رفتار کش به نظر می رسد، همراه با مسیری که درایور فایل سیستم شامل نام فایل را نگه می‌دارد و چیزی است که درنهایت موجب موضوع نام بی ‌اعتبار می‌شود یک خطا در برنامه نویسی سرور است.»

آنها همچنین یادآوری می کنند که بیشتر تحلیل ها بر روی یک سیستم x86 با ویندوز ۷ و سرویس پک ۱ که آخرین وصله ها و به روز رسانی ها روی آن نصب شده بود، انجام شده است. آنها همچنین روی ویندوز XP SP3، ویندوز ۷ SP1 x64، به‌روزربه روز رسانی ویندوز ۱۰(Redstone) هر دو x86 و x64 که همه به طور کامل وصله و به روزرسانی شده‌اند، یافته های  خود را بررسی کرده اند.

Udi Yavo، یکی از بنیان گذاران و مدیرفنی enSilo، به SecurityWeek گفت  که یافته های خود را در ماه ژانویه به مایکروسافت گزارش  کرده اند، اما این غول تکنولوژی این موضوع را به عنوان یک مسئله امنیتی محسوب نمی کند.

Yavo  گفت: «این نقص برای عرضه کنندگان امنیتی که در هنگام استفاده از API برای کنترل فایل های بارگذاری شده به مستندسازی مایکروسافت وابسته هستند، دارای پیامد های امنیتی است. این مسئله که مستندات مربوط به اشکال و هیچ راه حل رسمی وجود ندارد،باعث می شود که عرضه کنندگان امنیتی نتوانند بدافزار را تشخیص دهند.»

پست‌های مشابه

Leave a Comment

13 + 7 =