Microsofts säkerhetsprogram i Windows 10 knäckt av ett nollvärde

Pixabay / typographyimages

En sårbarhet i Windows 10 gör att malware kan ta sig förbi säkerhetskontroller i operativsystemet och infektera mjukvaran. Allt som behövs är ett nollvärde.

  • Anti-Malware Scan Interface ger ett extra skydd i Windows 10
  • Stoppas helt av ett enkelt nollvärde
  • Microsoft har redan en lösning på sårbarheten
  • Uppdatera datorn via Windows Update och du är skyddad

Med Windows 10 introducerades säkerhetsprogrammet Anti-Malware Scan Interface (AMSI). Ett program som lägger sig mellan dina applikationer och datorns antivirusprogram. AMSI skickar filerna datorn kör till antivirusprogrammet som kontrollerar dess integritet, alltså om de är infekterade med skadlig kod.

Bland de viktigare kontrollerna som Anti-Malware Scan Interface utför är en granskning av körbara filer när operativsystemet startar. Även extra resurser som de körbara filerna laddar i bakgrunden kontrolleras efter skadlig kod. Det är ytterligare en barriär med säkerhet som minskar risken för infektioner.

AMSI skyddar exempelvis mot skadlig kod som placeras i PowerShell-skript som exekveras av legitima program som Word och Excel. Skript som kan lura traditionella antivirusprogram.

Anti-Malware Scan Interface kollar inte kod efter ett nollvärde

Buggen som gör att malware kan leta sig förbi AMSI hittades av säkerhetsforskaren Satoshi Tanda. Han noterade att kod enkelt kunde skippa kontrollen som AMSI utför genom att placeras bakom ett tecken med nollvärde. Säkerhetsprogrammet stannar vid nollvärdet och läser aldrig koden som finns bakom.

Det ökar så klart riskerna, men tacksamt nog har Microsoft redan ordnat med en buggfix. I teorin ska du inte behöva göra något mer än att uppdatera datorn med buggfixen via Windows Update. Det är oklart om antivirusprogammen har samma problem som AMSI. Satoshi Tanda rekommenderar säkerhetsföretagen att de granskar sin mjukvara efter samma bugg som Microsoft.

Sårbarheten kan tyckas vara jämförelsevis snäll och enkel att hantera. Men i takt med att malware-utvecklare fokuserar allt mer på att lura vanliga program att köra farlig kod blir AMSI ett viktigare kort än någonsin i striden mellan gott och ont. En barriär som Windows 10 måste ha för att ge ett godtagbart skydd för användarna.

Det är en förrädisk bugg som många lär missa helt att den existerar. Tacksamt nog är Microsoft snabba med en lösning. Starta Windows Update och kontrollera om du har uppdateringar redo att installeras – om så är fallet installerar du och startar om datorn när det behovs.

Källa Satoshi Tanda
Via Bleeping Computer Neowin