Los errores son definitivamente un inconveniente para los usuarios, ya que sirven como vías para que los atacantes obtengan acceso a un sistema. De hecho, un micrófono es más como una puerta trasera sin llave. Recientemente se ha descubierto que los desarrolladores de malware podrán explotar un error de programación en el kernel de Windows y pasar desapercibido. Los módulos maliciosos se cargarán en tiempo de ejecución e incluso éstos pueden evitar la detección con éxito.
El fallo aparentemente afecta a PsSetLoadImageNotifyRoutine , uno de los mecanismos empleados por las soluciones de seguridad para identificar si se ha cargado o no código en el kernel o espacio de usuario. Los atacantes pueden explotar este error de tal manera que la rutina PsSetLoadImageNotifyRoutine lanza un nombre de módulo no válido y con esto, el atacante disfrazará el malware como una operación legítima.
La peor parte, sin embargo, es que el error afecta a todas las versiones de Windows que han sido liberadas desde Windows 2000. Sin embargo, el problema sólo salió a la luz cuando Omri Misgav, investigador de seguridad de enSilo, lo descubrió mientras analizaba el código del núcleo de Windows. El error también ha sido heredado por Windows 10.
En este punto estábamos seguros de que habíamos descubierto la causa del problema, aunque lo que nos eludía era ¿cómo puede ser que este error siga existiendo? ¿Y no hay una solución obvia para ello?
PsSetLoadImageNotifyRoutine fue introducido como un mecanismo de notificación para notificar a los desarrolladores de aplicaciones de los nuevos controladores registrados. Además, el mecanismo también se integró con software antivirus para permitir la detección de malware que realizaba cambios en los controladores.
Microsoft, por otro lado, no ve esto como un problema potencial de seguridad y según los investigadores, el error era algo conocido. Debido a que su causa raíz y otros detalles aún no están disponibles, es muy difícil justificar sus afirmaciones.