Les bogues constituent un inconvénient pour les utilisateurs, car ils permettent aux attaquants d’accéder à un système. En fait, un bug ressemble plus à une porte arrière non verrouillée. Récemment, il a été découvert que les développeurs de logiciels malveillants pourraient exploiter une erreur de programmation dans le noyau Windows et passer inaperçus. Les modules malveillants seront chargés au moment de l'exécution et même ceux-ci peuvent éviter la détection.

Le bogue affecte apparemment PsSetLoadImageNotifyRoutine, l'un des mécanismes employés par les solutions de sécurité pour identifier si du code a été chargé ou non dans le noyau ou dans l'espace utilisateur. Les attaquants peuvent exploiter ce bogue de sorte que PsSetLoadImageNotifyRoutine renvoie un nom de module non valide. L’attaquant déguisera le malware en une opération légitime.

Le pire, cependant, est que le bogue affecte toutes les versions de Windows publiées depuis Windows 2000. Cependant, le problème n’est apparu que lorsque Omri Misgav, chercheur en sécurité chez enSilo, l’a découvert lors de l’analyse du code du noyau Windows. L’erreur a également été héritée par Windows 10.

À ce stade, nous étions certains de savoir quelle était la cause du problème, mais ce qui nous a échappé était de savoir comment ce bogue peut encore exister. Et il n'y a pas de solution évidente pour cela?

PsSetLoadImageNotifyRoutine a été introduit en tant que mécanisme de notification pour informer les développeurs d'applications des nouveaux pilotes enregistrés. En outre, le mécanisme a également été intégré à un logiciel antivirus pour permettre la détection des logiciels malveillants modifiant les pilotes.

Microsoft, en revanche, ne voit pas cela comme un problème de sécurité potentiel et, selon les chercheurs, le bogue était quelque peu connu. Étant donné que sa cause fondamentale et d'autres détails ne sont toujours pas disponibles, il est très difficile de justifier leurs affirmations.