Microsoft ne publiera pas de mise à jour de sécurité malgré le fait qu'une firme de recherche en cybersécurité affirme avoir découvert un bogue dans l'API PsSetLoadImageNotifyRoutine que les développeurs de logiciels malveillants pourraient utiliser pour échapper à la détection par un logiciel anti-malware tiers. Le fabricant de logiciels ne croit pas que ce bogue pose de risque pour la sécurité.

Omri Misgav, chercheur en sécurité chez enSilo, a découvert une «erreur de programmation» dans l'interface de bas niveau PsSetLoadImageNotifyRoutine qui peut être trompée par des pirates pour permettre à des logiciels malveillants de contourner des antivirus tiers sans être détectés.

Lorsqu'il fonctionne correctement, l'API est censée avertir les pilotes, y compris ceux utilisés par un logiciel anti-programme malveillant tiers, lorsqu'un module logiciel est chargé en mémoire. Les antivirus peuvent ensuite utiliser l'adresse fournie par l'API pour suivre et analyser les modules avant le chargement. Misgav et son équipe ont découvert que PsSetLoadImageNotifyRoutine ne renvoyait pas toujours la bonne adresse.

La conséquence? Les pirates astucieux peuvent utiliser cette échappatoire pour mal diriger les logiciels anti-programmes malveillants et permettre aux logiciels malveillants de s'exécuter sans être détectés. Microsoft indique que ses ingénieurs ont examiné les informations fournies par enSilo et ont déterminé que le supposé bogue ne présentait pas de menace pour la sécurité.

EnSilo lui-même n’a testé aucun antivirus tiers pour prouver ses craintes, bien qu’il affirme ne pas avoir besoin d’un pirate informatique de génie pour exploiter ce bogue dans le noyau Windows. Il est difficile de savoir si Microsoft publiera un correctif pour corriger le bogue dans les mises à jour futures ou s’ils ont toujours eu connaissance du bogue et disposent de mesures de protection supplémentaires pour arrêter la menace.

L'API elle-même n'est pas nouvelle pour le système d'exploitation Windows. Il a été écrit pour la première fois dans le système d’exploitation dans la version 2000 et a été conservé pour toutes les versions ultérieures, y compris la version actuelle de Windows 10. Cela semblerait trop long pour qu’une faille Windows ne soit pas exploitée par les développeurs de programmes malveillants.

Peut-être n’a-t-il pas encore eu de violation de sécurité via ce bogue du noyau Windows car les pirates ne l’avaient pas encore découvert. Eh bien, maintenant ils savent. Et, puisque Microsoft ne fera rien contre le bogue, il reste à voir ce que la communauté de pirates informatiques toujours entreprenants fera de cette opportunité. Peut-être cela nous dira-t-il si Microsoft a raison de dire que ce bogue ne constitue pas une menace pour la sécurité.