Microsoft encuentra un bug de Windows que impedía detectar malware

Esta mala noticia no podría llegar en peor momento, con la preocupación yacente de la comunidad por las constantes amenazas de ransomware que navegan por la red.

NotPetya

Microsoft acaba de detectar un bug en el kernel de su sistema operativo que provocaba que las herramientas de seguridad adicionales que instalásemos en Windows no sirviesen para mucho, ya que su capacidad para detectar malware estaba bloqueada por defecto. Esta mala noticia no podría llegar en peor momento, con la preocupación yacente de la comunidad por las constantes amenazas de ransomware que navegan por la red. Por lo visto, el bug se debe a un error en el código del kernel que afecta la función PsSetLoadImageNotifyRoutine, que se encarga de vigilar los módulos que se están cargando en el sistema operativo.

“Durante una investigación del kernel de Windows hemos descubierto un problema muy interesante con PsSetLoadImageNotifyRoutine que, como su propio nombre indica, notifica los módulos que se están cargando”, ha explicado la firma de seguridad enSilo en una entrada en su blog. “Tras profundizar en el asunto, lo que parecía un problema inocente resultó ser un error de código en el propio kernel de Windows. Este problema está presente en Windows 10 y en todas sus versiones anteriores hasta Windows 2000”.

Malware

La función la utilizan varios antivirus

Es irónico que PsSetLoadImageNotifyRoutine tenga como función descubrir amenazas de malware en el sistema operativo, ya que lo que hacía realmente era bloquear las aplicaciones que trataban de descubrirlas. Los chicos de Bleeping Computer han logrado ponerse en contacto con uno de los investigadores de seguridad, Omri Misgav, que ha afirmado que Microsoft no consideraba este error como una amenaza de seguridad.

“No hemos realizado pruebas con ningún software de seguridad específico, pero estamos al corriente de que algunos fabricantes utilizan este mecanismo, aunque llegados a este punto no podemos afirmar cómo les afectará el uso de esta función defectuosa”, ha comentado Misgav. “Hemos contactado con el centro de respuestas de seguridad de Microsoft y les hemos informado del problema a principios de este año, pero ellos no lo consideran una amenaza de seguridad”.

Dejar respuesta