Los errores son definitivamente un inconveniente para los usuarios, ya que sirven como vías para que los atacantes tengan acceso a un sistema. De hecho, un error es más como una puerta trasera desbloqueada. Recientemente se ha descubierto que los desarrolladores de malware podrán explotar un error de programación en el kernel de Windows y pasar desapercibidos. Los módulos maliciosos se cargarán en tiempo de ejecución e incluso estos pueden evitar la detección con éxito.

El error aparentemente afecta a PsSetLoadImageNotifyRoutine, uno de los mecanismos empleados por las soluciones de seguridad para identificar si el código se ha cargado o no en el núcleo o en el espacio del usuario. Los atacantes pueden explotar este error de modo que PsSetLoadImageNotifyRoutine arroje un nombre de módulo no válido y con esto, el atacante disfrazará el malware como una operación legítima.

Sin embargo, la peor parte es que el error afecta a todas las versiones de Windows que se han lanzado desde Windows 2000. Sin embargo, el problema solo salió a la luz cuando Omri Misgav, investigador de seguridad de enSilo, lo descubrió mientras analizaba el código del kernel de Windows. El error también ha sido heredado por Windows 10.

En este punto, estábamos seguros de que descubrimos qué causa el problema, aunque lo que nos eludió fue ¿cómo puede ser que este error aún exista? ¿Y no hay una solución obvia para ello?

PsSetLoadImageNotifyRoutine se introdujo como un mecanismo de notificación para notificar a los desarrolladores de aplicaciones los controladores recién registrados. Además, el mecanismo también se integró con el software antivirus para permitir la detección de malware que realizó cambios en los controladores.

Microsoft, por otro lado, no ve esto como un posible problema de seguridad y, según los investigadores, el error era algo conocido. Dado que su causa raíz y otros detalles aún no están disponibles, es muy difícil corroborar sus afirmaciones.