News Ticker

WSL potrebbe essere un nuovo vettore di attacco per Windows (grazie a Wine)

La novità dell'anno per Microsoft è stata l'integrazione della shell linux in Windows, con Windows Subsystem for Linux (WSL). Ne abbiamo parlato spesso, ma per quanti non lo ricordassero WSL è uno strato software di traduzione delle chiamate a sistema indirizzate ad un kernel linux che consente di renderle comprensibili ad uno Windows.
Ciò permette ad un programma scritto per linux di essere eseguito direttamente in Windows, senza quindi la necessità di creare un porting apposta dell'applicazione (come fa Cygwin) o un ambiente apposito (come una macchina virtuale). L'intenzione è quella di facilitare gli sviluppatori, permettendo loro di adoperare gli strumenti familiari sotto Windows per creare applicazioni per linux (o viceversa: usare gli strumenti linux per poter lavorare con Windows). Alcuni utenti linux si saranno accorti della similitudine nell'approccio di un progetto speculare esistente da molto tempo: Wine.

Ora questo sistema potrebbe essere usato per bucare i sistemi Windows. In un articolo su Motherboard viene spiegato come dei ricercatori dell'azienda per la sicurezza informatica Check Point hanno testato con successo delle tecniche per poter eseguire dei tipi particolari di malware: programmi scritti per Linux che prendano di mira sistemi Windows... Usando WSL. Questa tecnica è chiamata Bashware, dal nome della shell integrata in WSL (Bash, per l'appunto).

Il buco non è tanto nel sistema in sé, che fa giusto il suo mestiere e viene usato come previsto, ma nei sistemi e programmi di controllo che normalmente vengono usati in Windows. Infatti WSL crea dei processi ben identificabili, ma diversi dal normale processo windows (tanto da avere un nome proprio, pico): l'antivirus o l'anti-malware di turno semplicemente non monitorano questi processi, lasciandoli liberi di fare quello che vogliono. Da notare che il motivo è la pigrizia dei produttori di software, in quanto gli strumenti (le API) per poter monitorare questi processi esistono, come per quelli normali, ma semplicemente non sono usati.

Si potrebbe pensare che la minaccia sia grave, ma solo potenziale: i programmi malevoli devono essere scritti da zero, e ci vorrà tempo. E invece no: grazie al nostro amico Wine i virus già esistenti potranno essere emulati come programmi Linux a sua volta convertiti per Windows (una bella matrioska degna di Inception). Il risultato? Eludere i controlli con attacchi già diffusiben conosciuti. E, solitamente, pericolosi.

In attesa che i produttori dei software di sicurezza (indispensabili su Windows) si diano una mossa ed aggiornino i loro prodotti, l'unica consolazione è che WSL è disattivato di default, quindi questa superficie di attacco è normalmente non disponibile. Ma basta modificare poche chiavi di registro e...