Un bug presente all’interno dell’Anti-Malware Scan Interface di Windows 10 potrebbe consentire ad un malware di passare inosservato nelle scansioni se il codice contiene un carattere nullo. Introdotta all’interno di Windows 10, la Anti-Malware Scan Interface (AMSI) è un apparato di sicurezza che funge come una sorta di intermediario per le applicazioni e l’antivirus presenti all’interno del sistema operativo. In pratica, consente alle applicazioni di verificare se i file che stanno utilizzando sono sicuri, inviandoli all’antivirus per essere controllati.
Uno dei ruoli più importanti di AMSI è controllare i file eseguibili al loro avvio e scansionare ulteriori risorse che potrebbero essere aperte da un’applicazione dopo la sua esecuzione. Trattasi di una soluzione di sicurezza molto importante considerando la crescente tendenza tra i pirati informatici di provare ad eludere i tradizionali motori antivirus basati sulle firme digitali mascherando gli attacchi attraverso l’uso di script PowerShell in esecuzione su applicazioni spacciate per legittime.
Il bug, come scoperto dal ricercatore Satoshi Tanda, fa in modo che i file inviati siano scansionati dall’AMSI per essere troncati con un carattere nullo. Ciò significherebbe che un utente malintenzionato potrebbe nascondere facilmente il codice dannoso in uno script posizionandolo dopo un carattere nullo. Dal momento che il sistema di protezione non andrebbe a leggere questo codice maligno, il malware passerebbe inosservato.
Per fortuna, questo pericoloso bug è stato corretto all’interno dell’ultimo Patch Tuesday di Microsoft. Il sistema operativo è stato, dunque, già messo al sicuro dall’intervento di Microsoft. Satoshi Tanda, comunque, evidenzia che gli sviluppatori di software che utilizzano AMSI dovrebbero verificare se le loro applicazioni riescono a gestire correttamente i caratteri nulli nel caso dovessero per qualche motivo fare la loro comparsa.