Chyby jsou pro uživatele rozhodně nepříjemné a slouží jako cesty pro útočníky k získání přístupu k systému. Ve skutečnosti je chyba spíše jako odemknuté zadní dveře. Nedávno bylo objeveno, že vývojáři malwaru budou moci využít programovací chyby v jádru Windows a nezjistí se. Škodlivé moduly budou načteny za běhu a dokonce i tyto mohou úspěšně zabránit detekci.

Chyba zjevně ovlivňuje PsSetLoadImageNotifyRoutine, jeden z mechanismů používaných bezpečnostními řešeními k identifikaci, zda byl kód načten do jádra nebo uživatelského prostoru. Útočníci mohou tuto chybu využít tak, že PsSetLoadImageNotifyRoutine vyvolá neplatný název modulu a tím útočník zamaskuje malware jako legitimní operaci.

Nejhorší však je, že chyba ovlivňuje všechny verze Windows, které byly vydány od Windows 2000. Problém však vyšel najevo, když jej objevil Omri Misgav, bezpečnostní výzkumník v enSilo, při analýze kódu jádra Windows. Tato chyba byla zděděna i Windows 10.

V tuto chvíli jsme si byli jisti, že jsme zjistili, co způsobuje problém, i když to, co nám uniklo, bylo, jak může tato chyba stále existovat? A není tam žádné zřejmé řešení?

PsSetLoadImageNotifyRoutine byl zaveden jako oznamovací mechanismus pro upozornění vývojářům aplikací na nově registrované ovladače. Tento mechanismus byl navíc integrován s antivirovým softwarem, který umožňuje detekci malwaru, který provedl změny v ovladačích.

Microsoft na druhou stranu toto nevidí jako potenciální bezpečnostní problém a podle vědců byla chyba poněkud známa. Protože jeho příčina a další podrobnosti stále nejsou k dispozici, je velmi obtížné zdůvodnit jejich tvrzení.