freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Windows内核存在漏洞,影响Windows2000到Windows10所有版本
2017-09-10 16:21:09

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

Windows 2.jpg

研究人员最近发现一枚Windows内核0day漏洞,影响Windows2000到Windows10所有版本。恶意软件可利用该漏洞躲过安全软件的检测,但该漏洞利用难度较大

攻击者利用该漏洞可以绕过病毒查杀系统,运行恶意软件。该漏洞影响安全解决方案中的PsSetLoadImageNotifyRoutine机制,该机制用来识别代码何时进入内核或用户空间。

漏洞利用

因为PsSetLoadImageNotifyRoutine会返回一个无效的模块名,因此攻击者可以利用将恶意应用伪装成合法的操作。

该漏洞影响过去17年发布的所有Windows版本。enSilo的研究人员在分析Windows内核代码时发现了该漏洞。并称该漏洞影响Windows 2000之后的所有Windows版本(包括Windows 10最新发布的版本)。

PsSetLoadImageNotifyRoutine是微软引入的一个通知机制,用来通知应用开着新注册的驱动。当PE镜像进入虚拟内存时,系统同样可以检测到,因此该反病毒软件也利用该机制来检测恶意软件的恶意行为。

微软可能不会发布补丁

研究人员Misgav 与Microsoft Security Response Center确认过,但微软并不认为这是一个安全问题,问题的关键是一些安全软件依赖该机制检测软件的恶意行为。这项研究目前仍在继续,后期或会发布更多研究成果。

关于PsSetLoadImageNotifyRoutine的运行机制和具体技术细节,请点我 

*参考来源:https://www.bleepingcomputer.com/news/security/bug-in-windows-kernel-could-prevent-security-software-from-identifying-malware/,转载请注明来自FreeBuf.COM

本文作者:, 转载请注明来自FreeBuf.COM

被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑