Bashware, Windows 10 violato dalla Shell Linux

Checkpoint descrive una vulnerabilità del componente Windows Subsystem for Linux disponibile per Windows 10 e Windows Server 2016. Microsoft ritiene però il problema un rischio basso per la sicurezza del proprio OS

Roma – I ricercatori di Checkpoint Security Research Gal Elbaz e Dvir Atias hanno pubblicato un articolo in cui dimostrano la possibilità di effettuare un attacco utilizzando WSL ( Windows Subsystem for Linux ), un componente opzionale di Windows 10 e Windows Server 2016 che consente l’uso di comandi Linux su un ambiente Windows , senza il bisogno di ricorrere alla virtualizzazione. L’attacco è stato chiamato bashware dagli stessi ricercatori.

Windows Subsystem for Linux è stato rilasciato in beta ad agosto dello scorso anno, con l’Anniversary Update di Windows 10, e ne è uscito ufficialmente poco meno di due mesi fa ; si compone di una serie di strumenti che consentono l’interazione tra eseguibili Linux e l’ambiente Windows su cui risiedono : un’istanza Linux viene eseguita in user mode , all’interno della stessa vengono eseguiti gli applicativi Linux, sotto forma di appositi processi Pico le cui istruzioni vengono tradotte da chiamate di sistema Linux ad API Windows da due driver Pico : lxss.sys e lxcore.sys .

architettura wsl

I processi Pico sono processi leggeri che non contengono le strutture dati tipiche dei processi NT, come il process environment block : nonostante ciò, sono in grado di interagire con il sistema operativo – sia in modalità utente che in modalità kernel – allo stesso livello di un processo NT classico, attraverso gli appositi driver.

architettura processi pico

L’attacco documentato si suddivide in quattro fasi: nella prima viene abilitato WSL utilizzando un comando dell’utility DISM:

Dism /online /Enable-Feature /FeatureName:Microsoft-Windows-Subsystem-Linux /All

In seguito all’installazione del componente, la quale prevede il riavvio del computer, va abilitata la modalità developer ; per fare ciò è necessario avere il controllo di un utente con il ruolo di amministratore di sistema locale , e scrivere due chiavi di registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\AppModelUnlock\AllowAllTrustedApps
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\AppModelUnlock\AllowDevelopmentWithoutDevLicense

In seguito, va installato un sistema operativo Linux, tra quelli disponibili all’interno del Windows Store (Ubuntu, SUSE, Fedora), ma la peculiarità nell’attacco si trova all’interno dell’ultima fase: installando WineHQ all’interno dell’istanza Linux, risulta possibile eseguire un’applicazione Windows all’interno di WSL, rendendola invisibile all’ecosistema Windows soprastante . Ciò avviene in quanto le chiamate NT dell’applicazione vengono convertite da Wine in chiamate POSIX, per poi essere riconvertite in chiamate NT dai driver Pico: in quest’ultima fase, il driver lxcore.sys diventa l’effettivo chiamante del processo maligno.

Un’ulteriore vulnerabilità riscontrata dai ricercatori riguarda il download e l’installazione del sotto-sistema operativo Linux: l’istanza Linux viene salvata sotto forma di archivio tar.gz in una cartella nascosta contenuta in %APPDATA% ; una volta terminato il download, l’archivio viene estratto all’interno della stessa cartella. Tuttavia, l’unico controllo di sicurezza atto a verificare l’autenticità dell’archivio è un file di testo, contenente l’hash dello stesso, in formato SHA256. Un attaccante potrebbe quindi calcolare l’intervallo di tempo giusto per manomettere il valore dell’hash e sostituire di conseguenza il file system Linux con uno contraffatto , in grado di eseguire software malevolo bypassando le funzionalità di sicurezza di Windows come l’UAC.

Un portavoce Microsoft ha rilasciato dichiarazioni ufficiali via email a Motherboard , ritenendo la vulnerabilità poco significativa in termini di rischio per l’utente , a causa della quantità di passi necessari e della necessità di una privilege escalation per abilitare la modalità developer .

Elia Tufarolo

Fonte immagini 1 , 2

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • b0addd1f947 scrive:
    Meno propaganda per favore
    Perché convincere i nuovi utenti che arrivano su Linux che bisogna fare tutto da shell? Questi accuse alle interfacce grafiche di Linux di essere inadeguate lanciate nel corso dell'articolo puzzano di propaganda.Se provate Konqueror in modalità file manager troverete un'applicazione gratuita che come usabilità da una pista ad explorer di Windows e windows lo paghi. Con Konqueror l'utente non è limitato a due schede affiancate, con lo split verticale ed orizzontale si possono aprire quante schede si vogliono e controllare contemporaneamente tante directories quante te ne permette lo schermo. La funzione di ricerca dei files c'è e si puo aprire una shell per comandi complessi in ogni momento da ogni directory. In più se per navigare su internet si usa un altro browser i bookmarks di konqueror possono essere usati per linkare le directories più usate sul PC funzionalita che è molto utile che su Windows è veramente contorta a meno che non si incasina il desktop con milioni di link a directories e applicazioni, vedo regolarmente colleghi che perdono ore a cercare sul desktop il link che gli serve in quel momento.
    • user_ scrive:
      Re: Meno propaganda per favore
      con total commander in windows è piu' semplice di quelle cose che hai detto,e basta quello.
      • 57d7ff42c2b scrive:
        Re: Meno propaganda per favore
        - Scritto da: user_
        con total commander in windows è piu' semplice di
        quelle cose che hai detto,e basta
        quello.Spara meno XXXXXXX
        • user_ scrive:
          Re: Meno propaganda per favore
          Total commander non lascia niente a desiderare, non ho capito bene la questione dei link sul browser. A che serve? Sul browser si imposta una sola cartella per il download dei file, così è meno caotico. Poi su total commander sposti i file come vuoi.-----------------------------------------------------------Modificato dall' autore il 15 settembre 2017 17.17-----------------------------------------------------------
    • panda rossa scrive:
      Re: Meno propaganda per favore
      - Scritto da: b0addd1f947
      Perché convincere i nuovi utenti che arrivano su
      Linux che bisogna fare tutto da shell? Perche' si!Se preferisci il paradigma clicca clicca, puoi tenerti il bloatware preinstallato.Linux singifica innanzitutto che tra sedia e tastiera c'e' il centro di potere e non il problema.
    • ... scrive:
      Re: Meno propaganda per favore
      - Scritto da: b0addd1f947
      Perché convincere i nuovi utenti che arrivano su
      Linux che bisogna fare tutto da shell?Perché, come vedi dalla risposta sotto data adal solito, qulacuno potrebbe perdere il potere che suppone d'avere e rendersi conto che in realtà è una mezza caccola
  • Uno scrive:
    Re: Ancora prima...
    Concordo al 100% su TC. Mai un acquisto di software si e' ripagato cosi' tanto.Tornando a MC purtorppo perde come funzioni rispetto al mitico Dos Navigator. Gli ormai fumosi ricordi dicono che faceva anche il caffe'. Era il migliore per funzionabilita' e usabilita'.E cmq il mitico Norton Commander non si puo' dimenticare mai...Credo siano stati loro ad "inventare" quel tipo di interfaccia a 2 pannelli.
  • tauranga scrive:
    e non solo per Linux
    Esiste anche una compilazione di Midnight Commander anche per il Wpork...
  • panda rossa scrive:
    Open source da oltre 20 anni
    Winsozz manco ancora esisteva, e su unix gia' era possibile avere un controllo TOTALE del file system.Nessuno di tutti quelli che sono venuti dopo puo' dire di avere inventato qualcosa.Qualunque cosa dicano di avere inventato, c'era gia'.Ed era open source.
    • user_ scrive:
      Re: Open source da oltre 20 anni
      Sei sicuro? win commander esisteva 20 anni fa, ora si chiama total commander. Esiste dai tempi di win 3.x-----------------------------------------------------------Modificato dall' autore il 14 settembre 2017 19.32-----------------------------------------------------------
      • Mago scrive:
        Re: Open source da oltre 20 anni
        Modificato dall' autore il 14 settembre 2017 19.32
        --------------------------------------------------quello e' il norton commander non fare confusione esiste dagli anni 80
        • user_ scrive:
          Re: Open source da oltre 20 anni
          allora il dos navigator del 1991 è ancora + vecchio. ah già il Norton Commander è del 1986-----------------------------------------------------------Modificato dall' autore il 14 settembre 2017 23.23-----------------------------------------------------------
Chiudi i commenti