Bugs är definitivt en besvär för användare och fungerar som vägar för angripare att få tillgång till ett system. I själva verket är ett fel mer som en olåst bakdörr. Det har nyligen blivit upptäckt att malware-utvecklare kommer att kunna utnyttja ett programmeringsfel i Windows-kärnan och bli oupptäckta. De skadliga modulerna laddas under körning och till och med dessa kan framgångsrikt undvika upptäckt.

Buggen påverkar uppenbarligen PsSetLoadImageNotifyRoutine, en av de mekanismer som används av säkerhetslösningar för att identifiera om kod har laddats in i kärnan eller användarutrymmet eller inte. Attacker kan utnyttja detta fel så att PsSetLoadImageNotifyRoutine kastar ett ogiltigt modulnamn och med detta kommer angriparen att dölja skadlig programvara som en legitim åtgärd.

Det värsta är dock att felet påverkar alla versioner av Windows som har släppts sedan Windows 2000. Problemet kom emellertid först fram när Omri Misgav, säkerhetsforskare på enSilo, upptäckte det när han analyserade Windows-kärnkoden. Felet har också ärvts av Windows 10.

Vid denna tidpunkt var vi säkra på att vi räknade ut vad som orsakar problemet, men vad som undviker oss var hur kan det vara så att detta fel fortfarande finns? Och det finns ingen uppenbar lösning för det?

PsSetLoadImageNotifyRoutine infördes som en anmälningsmekanism för att meddela apputvecklare om nyregistrerade drivrutiner. Dessutom var mekanismen också integrerad med antivirusprogram för att möjliggöra upptäckt av skadlig programvara som gjorde ändringar i drivrutiner.

Microsoft å andra sidan ser inte detta som en potentiell säkerhetsproblem och enligt forskare var felet något känt. Eftersom dess orsak och andra detaljer fortfarande inte är tillgängliga, är det mycket svårt att underbygga sina påståenden.