Si chiama Bashware ed è una nuova tecnica che consente ad un malware (anche già conosciuto) di utilizzare una nuova funzionalità di Windows 10, denominata Subsystem for Linux (WSL), per bypassare l'antivirus installato su un computer.
Nel 2016, Microsoft ha annunciato WSL: una nuova componente presente in Windows 10 per eseguire una shell Linux (Bash) all'interno del sistema operativo Windows 10. Questo per venire incontro alle esigenze della comunità degli sviluppatori, che utilizza principalmente Linux grazie alla sua facilità d'uso per quanto riguarda le attività di programmazione. WSL è una componente opzionale che consente l'uso di comandi Linux su ambiente Windows senza bisogno di ricorrere alla virtualizzazione. Con WSL un'istanza Linux viene eseguita in user mode: entro la stessa si eseguono gli applicativi Linux, nella forma di processi Pico. Le istruzioni dei processi Pico vengono tradotte tramite chiamate di sistema Linux ad API Windows.
L’attacco Bashware è invisibile per i software di sicurezza attuali
Dai rapporti emerge l’esistenza di una tecnica che consente ad un malware di utilizzare lo shell Linux
segreto di Windows 10 per nascondere operazioni dannose. La totalità dei ricercatori di sicurezza che ha studiato il problema conferma che gli attuali software di sicurezza, compresi quelli di prossima generazione, non riescono a individuare queste operazioni. Tutto ciò avviene a causa dello scarso supporto ai processi Pico, una nuova classe di processi Windows che Microsoft ha aggiunto per gestire le operazioni WSL.
Bashware necessità dei privilegi di amministrazione, ma questo può non essere un problema
Un attacco Bashware, prima di tutto, richiede i privilegi di amministratore. Il malware che raggiunge un PC Windows 10 ha bisogno dell'accesso al livello di amministrazione in modo da abilitare la funzionalità WSL, che è disattivata per impostazione predefinita, per poi attivare la Modalità Sviluppatore di Windows 10.
La cattiva notizia è che la superficie di attacco di Windows è gravata da molte vulnerabilità nei meccanismi di escalation dei privilegi, che gli attaccanti possono usare per ottenere l'accesso come amministratore per attivare WSL e caricare i driver necessari a usare l'utility DISM. Oltre a ciò i ricercatori avvisano che un attaccante che dovesse i privilegi di amministrazione non incontrerebbe grosse difficoltà a mettere Windows 10 in Modalità Sviluppatore. Basta infatti che un attaccante modifichi la chiave di registro e attenda (o forzi) il reboot del PC da parte dell'utente.
A questo stadio l'attaccante ha abilitato WSL, ma l'installazione del sistema Linux non esiste ancora sul computer dell'utente. Tuttavia gli strumenti presenti nel sistema dell'utente consentono all'attaccante di scaricare silenziosamente il file system Linux dai server Microsoft e di completare l'installazione di WSL. L’attaccate, una volta portato a termine questo processo, può utilizzare il Bash CLI appena installato per eseguire operazioni dannose.
A questo stadio l'attaccante ha abilitato WSL, ma l'installazione del sistema Linux non esiste ancora sul computer dell'utente. Tuttavia gli strumenti presenti nel sistema dell'utente consentono all'attaccante di scaricare silenziosamente il file system Linux dai server Microsoft e di completare l'installazione di WSL. L’attaccate, una volta portato a termine questo processo, può utilizzare il Bash CLI appena installato per eseguire operazioni dannose.
L'attaccante può utilizzare i comandi di Linux per interagire con i PC Windows, in quanto WSL traduce tutto ciò che è necessario. In alternativa, se l'attaccante non vuole modificare gli script già esistenti, può installare Wine - un emulatore Windows per Linux. In sostanza Wine consente all'attaccante di eseguire comandi di Windows dannosi, che Wine a sua volta traduce in comandi di Linux e che quindi WSL trasforma di nuovo in operazioni di Windows che vengono eseguite su un sistema preciso.
I software di sicurezza dovranno supportare i processi Pico
I ricercatori hanno reso disponibili i dettagli dell'attacco di Bashware, in modo che i vendor di software di sicurezza possano ricercare ed aggiungere un supporto per i processi WSL e Pico prima della pubblicazione di Windows 10 Fall Creators Update.
Nessun commento:
Posta un commento