ILLUSTRASJONSBILDE: Det er ikke bare Emacs man kan kjøres i Windows Subsystem for Linux. Selv Windows-basert skadevare kan trives der. (Bilde: digi.no)

Bashware

Knapt noe antivirus-verktøy kan oppdage skadevare som kjøres i Linux-systemet til Windows 10

Kan enkelt utnyttes dersom systemet er installert.

Sikkerhetsselskapet Check Point mener at Windows Subsystem for Linux (WSL) i Windows 10 utgjør en betydelig sikkerhetsrisiko fordi utnyttelse av dette systemet ikke fanges opp av dagens antiskadevareprodukter. 

WSL gjør det mulig å kjøre mange Linux-applikasjoner i Windows 10, uten at applikasjonene må modifiseres. 

Check Point kaller skadevare som gjør dette for Bashware.

Det at WSL ikke er forhåndsinstallert og dessuten kun kan benyttes dersom utviklermodus er aktivert i Windows 10, har ifølge Check Point ført til en antakelse om at risikoen for misbruk av WSL er minimal. Men selskapet har demonstrert at WSL-driverne og Linux-systemet kan installeres, og utviklermodus aktiveres, ved hjelp av enkle kommandoer som ikke ser mistenkelige ut for sikkerhetsprogramvare og som kan kjøres i det stille.

Les også: Nå kan du kjøre Linux-programmer i Windows 10. Spørsmålet er om du bør

Ikke bare enkelt

En utfordring er at noen av disse kommandoene krever administratorprivilegier. Er WSL allerede installert og utviklermodus installert, unngår man trolig dette. Men ellers må angriperen finne en måte å oppnå administratorprivilegier. Ifølge den IT-sikkerhetsorienterte nyhetstjenesten Bleeping Computer er Windows-angrepsflaten hjemsøkt av mange sårbarheter som gjør det mulig for angripere å oppnå høyere privilegier, så helt umulig er det nok ikke å få til dette.

Check Point forklarer ikke nøyaktig hvordan, men viser i videoen nedenfor at det er mulig fra et Windows-program å sette i gang installasjon og kjøring av Linux-programmer i WSL. Disse Linux-programmene kjøres i det som kalles for Pico-prosesser, som oversetter POSIX-systemkall fra Linux-programvaren til NT-systemkall som Windows-kjernen støtter.

Disse Pico-prosessene er ikke synlige i oppgavebehandlingen i Windows og støttes ifølge Check Point heller ikke av det meste av dagens antivirusprogramvare. Check Point oppfordrer derfor resten av IT-sikkerhetsbransjen til å få på plass slik støtte så raskt som mulig.

Les også: Linux utgjør et stort sikkerhetsproblem for Windows

Fra Windows til Linux til Windows

Men Check Point har ikke stoppet der. De har også vist at relativt ordinær, Windows-basert utpressingsvare kan utnytte WSL dersom angriperen sørger for at den kjøres i Wine. Se mot slutten av videoen nedenfor.

På mange måter fungerer Wine og WSL likt, men i motsatt retning. Wine oversetter NT-systemkall til POSIX-kall. Kjører man Windows-programvare i Wine, som igjen kjøres i WSL i Windows 10, oversettes Windows-programvarens NT-kall til POSIX-kall, og deretter tilbake til NT-kall igjen.

Hovedtrinnene i fremgangsmåten Check Point har beskrevet.
Hovedtrinnene i fremgangsmåten Check Point har beskrevet. Bilde: Check Point

Det vil si at man kan kjøre Windows-programvare på Windows 10, uten at dette oppdages av antivirusprogramvare. 

Programvare som kjøres i WSL har tilgang til filsystemet i Windows og kan derfor lese og modifisere filene der, noe som er avgjørende for blant annet utpressingsvare.

Krever omstart

Ett trinn som i prosessen som Check Point av en eller annen grunn ikke nevner, er at systemet må Windows-systemet må startes på nytt før selve WSL kan installeres. Dette er ingen stor hindring dersom tidsaspektet er uten særlig betydning, for mange skrur av pc-en etter bruk. Og aller fleste må starte Windows på nytt etter at det har kommet nye sikkerhetsoppdateringer.

I en kommentar til Betanews sier en talsperson for Microsoft at selskapet har vurdert framgangsmåten til Check Point og konkludert med at risikoen er lav. 

En grundigere gjennomgang av funnene til Check Point finnes her.

Leste du denne? Ubuntu kan nå lastes ned direkte i Windows Store

Kommentarer (7)

Kommentarer (7)
Til toppen