Nul
Forskerne siger, Bashware ikke udnytte fejl i Microsofts WSL, men snarere, at WSL “udvider de kendte grænser” af Windows, som de fleste security-produkter, der i øjeblikket scanning. (Billede: Microsoft)
Forskere ved Check Point sige, at de har fundet en måde at bruge Microsoft ‘ s Windows-10 Delsystem til Linux (WSL) for at tillade, at malware til at glide af antivirus.
WSL tillader Linux ELF-binære filer til at køre på Windows. Microsoft introducerede funktion til at udvide Windows kommando-linje værktøj støtte og hjælpe udviklerne med at køre Bash-terminal på Windows-10 for ting som administration og styring af app udvikling.
Det vil være en fuldt understøttet funktion i Windows-10 Falder Skabere Opdatering, der udkommer i oktober.
Forskerne har opfundet udtrykket Bashware til at beskrive den teknik, som bruger WSL miljø til at køre Windows malware fra en Linux-instans, og omgå de fleste Windows security-produkter i processen. Da WSL kun kommer med Windows 10, kan det potentielt påvirke 500 millioner Pc ‘ er, der kører det.
WSL ‘ s kapaciteter kommer gennem et emuleret Linux-kernen og ‘pico processer’, eller beholdere, inden for hvilken ELF-binære filer køre. WSL også dirigerer Linux system opkald til Windows-kernen. Som bemærket af Check Point, hvilket er to vigtige .sys drivere efterligne Linux-kernen og oversætte Linux opfordrer til Windows NT-kerne-Api ‘ er.
Bashware muligt for en angriber at køre ELF eller Windows EXE malware på en snigende måde ved udnyttelse af ligheden mellem de kapaciteter af pico processer og Windows NT processer, ifølge Check Point.
Angrebet har fire trin, som er tilbøjelige til at reducere antallet af sårbare maskiner. For det første, er det nødvendigt at kontrollere, at WSL er aktiveret, hvilket ville være usandsynligt for de fleste forbrugere. Så hackeren være nødt til manuelt at aktivere developer mode.
Microsoft har et større fokus på angreb på Windows i bruger-tilstand. For eksempel, dens bug bounty programmer som $200.000 afbødning bypass bounty udelukke angreb på Windows-forsvar i developer mode.
I alle tilfælde, hvis en Bashware hacker kan opnå alle disse trin, ville de så være nødt til at installere en Linux eksempel på Windows-mål, samt en Linux-filsystemet, og Vin, et open-source program, der kører Windows-software på Linux, macOS, og andre systemer.
Forskernes ultimative mål var at bevise, at de kan køre malware, der angriber Windows, Linux instans, som ikke er, hvad WSL var beregnet til. Vin også gav dem lov til at køre Windows malware fra WSL, der giver angrebet med låg fra security-produkter.
Som forskere bemærk, Bashware ikke udnytte fejl i Microsofts implementering af WSL, men snarere, at WSL er et nyt værktøj, der “udvider de kendte grænser” af Windows, som de fleste security-produkter, der i øjeblikket scanning.
Men, sikkerhed leverandører, bør drage fordel af den WSL antivirus-og firewall-kompatibilitet værktøjer, som Microsoft har stillet til rådighed.
Microsoft fortalte Registrere, at det anses risikoen for, at dette angreb til at være lav på grund af de trin, der kræves for angrebet for at være effektiv.
Tidligere og relaterede dækning
Sikkerhedshuller lægge milliarder af Bluetooth-telefoner, enheder i fare
Det er tænkt til at være den mest omfattende sæt af sårbarheder, der er baseret på antallet af enheder, der er berørt, rammer Windows-skriveborde, Android-enheder, ældre iPhones og iPads, og smarte enheder.
Windows 10 Falder Skabere Opdatering: Hvad er det, der kommer på det sikkerhedspolitiske område
Microsoft vil tilføje en række nye sikkerhedselementer til Windows 10 Falder Skabere Opdatering, men for Enterprise og Windows Server-brugere.
Mere om Windows-10 sikkerhed
Windows-10: Microsofts nye Insider Preview er pakket med sikkerhed featuresWindows 10 sikkerhed: Microsoft tilbyder gratis prøveversion af seneste Defender ATP featuresMicrosoft rettelser ‘kritisk’ sikkerhed fejl, som påvirker alle versioner af WindowsVulnerabilities opdaget i Windows sikkerhed protocolsWindows 10: Her er hvordan mener Microsoft Defender Security Center vil gøre livet sikrere
0