Windows内核存在漏洞，影响Windows2000到Windows10所有版本

研究人员最近发现一枚Windows内核0day漏洞，影响Windows2000到Windows10所有版本。恶意软件可利用该漏洞躲过安全软件的检测，但该漏洞利用难度较大。 攻击者利用该漏洞可以绕过病毒查杀系统，运行恶意软件。该漏洞影响安全解决方案中的PsSetLoadImageNotifyRoutine机制，该机制用来识别代码何时进入内核或用户空间。 漏洞利用 因为PsSetLoadImageNotifyRoutine会返回一个无效的模块名，因此攻击者可以利用将恶意应用伪装成合法的操作。 该漏洞影响过去17年发布的所有Windows版本。enSilo的研究人员在分析Windows内核代码时发现了该漏洞。并称该漏洞影响Windows 2000之后的所有Windows版本（包括Windows 10最新发布的版本）。 PsSetLoadImageNotifyRoutine是微软引入的一个通知机制，用来通知应用开着新注册的驱动。当PE镜像进入虚拟内存时，系统同样可以检测到，因此该反病毒软件也利用该机制来检测恶意软件的恶意行为。 微软可能不会发布补丁 研究人员Misgav 与Microsoft Security Response Center确认过，但微软并不认为这是一个安全问题，问题的关键是一些安全软件依赖该机制检测软件的恶意行为。这项研究目前仍在继续，后期或会发布更多研究成果。 关于PsSetLoadImageNotifyRoutine的运行机制和具体技术细节，请点我（https://breakingmalware.com/documentation/windows-pssetloadimagenotifyroutine-callbacks-good-bad-unclear-part-1/）

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/