En un reciente post en el blog de seguridad informática The Hacker News, se comenta una nueva técnica de ataque a computadoras que usan el sistema operativo Windows y que es virtualmente indetectable por los antivirus actuales y para ello hacen uso del Sistema Linux que actualmente se ofrce en Windows.
Como todos recordaremos el año pasado, Microsoft sorprendió a todos anunciando la llegada del Windows Subsystem para Linux (WSL) en Windows 10, que trae el shell de línea de comandos de Linux a Windows, permitiendo a los usuarios ejecutar aplicaciones nativas de Linux en el sistema Windows sin necesitar de la virtualización.
Sin embargo, los investigadores de seguridad de la firma de seguridad Check Point Software Technologies han descubierto un posible grave problema de seguridad con la función WSL que podría permitir que las familias de malware diseñadas para Linux atacar a equipos Windows.
Los investigadores diseñaron una nueva técnica de ataque, llamada “Bashware“, que se aprovecha de la función incorporada de WSL de Windows, que ahora que ha culminado su etapa de prueabas beta, está programada para llegar con la actualización de Windows 10 Fall Creators en octubre de este año.
Según los investigadores de CheckPoint, la técnica de ataque de Bashware podría ser incluso muy simple o incluso formar parte de una conocida familia de malware de Linux, pero debido al hecho de que las soluciones de seguridad para Windows no están diseñadas para detectar dichas amenazas, estas podrían infectar fácilmente un la parte Windows del sistema.
Este nuevo ataque podría permitir a un atacante ocultar cualquier malware de Linux incluso a las soluciones de seguridad más comunes, incluyendo la próxima generación de software antivirus, incluyendo a herramientas de inspección de malware, solución anti-ransomware y otras herramientas de seguridad.
¿Pero por qué? Los investigadores sostienen que los software de seguridad existentes para sistemas Windows aún no han sido modificados para supervisar los procesos ejecutables dentro del Subsistema Linux que se ejecutan bajo el sistema operativo Windows.
Con el fin de ejecutar una aplicación de destino en el entorno Linux este está aislado, Microsoft introdujo los famosos “Pico procesos”, que son contenedores que permiten la ejecución de binarios ELF dentro del sistema operativo Windows.
Durante sus pruebas, los investigadores de Check Point pudieron probar la técnica del ataque de Bashware en la mayoría de los principales antivirus y productos de seguridad del mercado y superar con éxito a todos ellos.
La razón es como comentamos líneas arriva a que ningún producto de seguridad supervisa los procesos de Pico, incluso cuando Microsoft ya proporciona un API para ello.
Sí, es cierto que para ejecutar un ataque Bashware se requiere acceso de administrador en los equipos de destino, pero obtener privilegios de administrador en una PC con Windows a través de ataques de phishing o de credenciales de administrador robadas no es una tarea difícil para un atacante motivado.
Por otro lado, también es cierto que la necesidad de hace uso de estos ataques adicionales también podrían alertar a los antivirus, deteniendo el ataque antes de que el ataque real de Bashware pueda ser ejecutado para ocultar el malware.
Dado que WSL no está activado de forma predeterminada y los usuarios deben activar manualmente el modo de desarrollo en sus sistemas informáticos para poder utilizarlo y reiniciar el sistema, los riesgos planteados por la característica se ven atenuados en cierta medida.
Sin embargo, los investigadores de Check Point dicen que es un hecho poco conocido que el modo de desarrollador puede habilitarse modificando unas cuantas claves del registro, lo que puede hacerse de manera silenciosa como un porceso ejecutado en modo background por los atacantes con los privilegios correctos.
La técnica de ataque de Bashware automatiza los procedimientos requeridos cargando silenciosamente los componentes WSL, habilitando el modo de desarrollador, descargando y extrayendo el sistema de archivos Linux de los servidores de Microsoft y ejecutando programas maliciosos.
¿Qué es lo interesante del Bashware? Los hackers que utilizan la técnica el Bashware no están obligados a escribir programas de malware para Linux para ejecutarlos a través de WSL en equipos Windows.
Este esfuerzo adicional se ahorra con la técnica Bashware que instala un programa llamado Wine (una capa de compatibilidad de Windows dentro de Linux) dentro del entorno descargado de Ubuntu para el espacio del usuario y luego lanzar un malware conocidos del sistema operativo Windows haciendo uso de Wine.
El malware se inicia en Windows como un proceso Pico, que lo ocultará del software de seguridad instalado en el PC.
La técnica de ataque recién descubierta no aprovecha un error en la implementación del WSL o una vulnerabilidad de día cero, sino que se debe a la falta de interés o la falta de sensibilización de muchos proveedores de software de seguridad hacia el nuevo Subsistema de Linux.
Dado que el shell de Linux ya está disponible para los usuarios de Windows, los investigadores creen que Bashware puede afectar potencialmente a cualquiera de los 400 millones de PC que actualmente ejecutan Windows 10 en todo el mundo.
Los investigadores de Check Point dijeron que su compañía ya había actualizado sus soluciones de seguridad para combatir este tipo de ataques y están instando a otros proveedores de soluciones de seguridad a modificar y actualizar sus soluciones anti-virus y de seguridad.