Un bug in Windows permette di nascondere i malware agli antivirus

Un gruppo di ricercatori ha individuato un problema di sicurezza che affliggerebbe tutte le versioni di Windows: da Windows 2000 fino ad arrivare a Windows 10.

Gli esperti di enSilo spiegano che la routine PsSetLoadImageNotifyRoutine viene utilizzata in Windows per stabilire quando un certo codice è stato caricato a livello di kernel o di user space.

Gli sviluppatori di malware possono sfruttare il bug per impedire il rilevamento del codice malevolo da parte dei software antivirus. Il comportamento di PsSetLoadImageNotifyRoutine può essere infatti alterato facendo restituire alla routine il nome di un modulo non valido e descrivendo quindi le operazioni compiute dal malware come legittime.

L’antivirus può essere così ingannato e, verosimilmente, non si accorgerà di quanto sta avvenendo sul sistema.

Omri Misgav, il ricercatore di enSilo che per primo ha studiato la problematica, osserva come il bug sia presente in Windows da 17 anni e come sia “sopravvissuto” a numerosi successivi aggiornamenti del sistema operativo.
Secondo Misgav, Microsoft non avrebbe ancora seriamente preso in esame il problema: l’esistenza del bug era probabilmente già nota ma solo adesso se ne sono analizzate in maniera approfondita le cause e tutte le possibili implicazioni.