Noll
Forskarna säger att Bashware inte utnyttja brister i Microsofts WSL, utan snarare att WSL “expanderar kända gränser” i Windows för att som de flesta säkerhetsprodukter för närvarande scan. (Bild: Microsoft)
Forskare vid Check Point säga att de har hittat ett sätt att använda Microsofts Windows-10 Delsystem för Linux (WSL) för att tillåta skadlig kod att glida med antivirus.
WSL gör att Linux-ELF-binärer för att köras på Windows. Microsoft introducerade funktionen för att bredda Windows kommandoraden verktyg som stöd och hjälp utvecklarna att köra Bash terminal på Windows-10 för saker som administration och hantering av app-utveckling.
Det kommer att vara en fullt funktion som stöds i Windows-10 Faller Skaparna Uppdatering, utkommer i oktober.
Forskare har myntat begreppet Bashware för att beskriva den teknik som används WSL miljö för att köra Windows malware från en Linux-instans och förbi de flesta Windows-säkerhet i produkter i processen. Eftersom WSL kommer bara med Windows-10, det kan potentiellt påverka 500 miljoner Datorer som kör det.
WSL: s funktioner genom en emulerad Linux-kärnan och “pico processer”, eller i behållare, inom vilken ELF-binärer köra. WSL leder också Linux-system samtal till Windows-kärnan. Som påpekas av Check Point, som är viktiga .sys förare efterlikna Linux-kärnan och översätta Linux samtal för Windows NT-kärnan Api: er.
Bashware gör det möjligt för en angripare att köra ELF eller Windows EXE-malware på ett smygande sätt genom att utnyttja likheten mellan kapaciteten i pico processer och Windows NT processer, enligt Check Point.
Attacken har fyra steg, vilket sannolikt kommer att minska antalet utsatta maskiner. För det första, det behov av att kontrollera att WSL är aktiverad, vilket skulle vara osannolikt för de flesta konsumenter. Sedan angriparen skulle behöva att manuellt aktivera utvecklarläget.
Microsoft har ett större fokus på attacker på Windows user mode. Till exempel, dess bug bounty program som $200,000 begränsning bypass bounty utesluta angrepp på Windows försvar i developer mode.
I alla fall om en Bashware angripare kan uppnå alla dessa steg, skulle de då behöva installera en Linux exempel på Windows mål, liksom ett Linux-filsystem, och Vin, ett open-source program för att köra Windows-program på Linux, macOS, och andra system.
Forskarnas slutliga målet var att bevisa att de kan köra malware som angriper Windows från Linux exempel, vilket inte är vad WSL var avsedd för. Vin också gjort det möjligt för dem att köra Windows malware från WSL, ge attack med lock från säkerhetsprodukter.
Som forskare obs, Bashware inte utnyttja sårbarheter i Microsofts implementering av WSL, utan snarare att WSL är ett nytt verktyg som utökar den kända gränser” i Windows för att som de flesta säkerhetsprodukter för närvarande scan.
Men, säkerhetsföretag bör dra nytta av WSL antivirus och brandvägg kompatibilitet verktyg som Microsoft har gjort tillgängliga.
Microsoft berättade Registrera att den ansåg att risken för att denna attack att vara låga på grund av de åtgärder som krävs för attacken för att vara effektiva.
Tidigare och relaterade täckning
Säkerhetsbrister sätta miljarder för Bluetooth-telefoner, apparater på risk
Det är tänkt att vara den mest omfattande uppsättning av sårbarheter baserat på antal enheter som berörs, att slå på Windows-datorer, Android-enheter, äldre iPhones och iPads och smarta enheter.
Windows 10 Faller Skaparna Uppdatering: Vad är det som kommer på säkerhet framför
Microsoft kommer att lägga till ett antal nya säkerhetsfunktionerna i Windows 10 Faller Skaparna Uppdatering, men för Enterprise och Windows Server-användare.
Mer om Windows 10 säkerhet
Windows 10: Microsofts nya Insider Förhandsvisning är packad med säkerhet featuresWindows 10 säkerhet: Microsoft erbjuder gratis utvärderingsversion av senaste Försvarare ATP featuresMicrosoft fixar ‘kritiska’ säkerhet buggar som påverkar alla versioner av WindowsVulnerabilities upptäckte i Windows security protocolsWindows 10: så Här tycker Microsoft Defender Security Center kommer att göra livet säkrare
0