Hệ thống phụ Linux trên Windows 10 cho phép malware ẩn náu mà không bị phát hiện

Năm ngoái, Microsoft khiến mọi người bất ngờ khi tuyên bố sự ra đời của Windows Subsystem cho Linux (WSL) trên Windows 10, cho phép đưa Shell dòng lệnh trên Linux lên Windows để người dùng chạy các ứng dụng nguyên gốc của Linux ngay trên Windows mà không cần dùng công cụ ảo hóa.

Tuy vậy, các nhà nghiên cứu đến từ Check Point Software Technologies đã phát hiện ra vấn đề bảo mật với WSL, có thể cho phép malware vốn được thiết kế cho Linux nhắm tới máy Windows mà không hề bị các phần mềm bảo mật phát hiện.

Các nhà nghiên cứu đã tạo kỹ thuật tấn công mới có tên Bashware lợi dụng tính năng WSL trên Windows, hiện đã xong giai đoạn thử nghiệm và chuẩn bị có mặt trên Windows 10 Fall Creators Update vào tháng 10 năm nay.

Bashware không thể bị các phần mềm bảo mật phát hiện

Theo các nhà nghiên cứu tại Check Point, Bashware có thể bị lạm dụng bởi malware trên Linux bởi những công cụ bảo mật trên Windows không có khả năng phát hiện hiểm họa này.

Kiểu tấn công mới cho phép kẻ tấn công giấu malware Linux khỏi tất cả các công cụ bảo mật, cả những phần mềm mới nhất, công cụ phát hiện malware, diệt virus, mã độc tống tiền…

Lý do được đưa ra là các phần mềm bảo mật hiện tại cho Windows không được thiết kế để quản lý quy trình thực thi Linux trên OS Windows. “Các công cụ bảo mật hiện có vẫn chưa thích nghi được với quy trình thực thi của Linux chạy trên Windows, một khái niệm lai cho phép kết hợp Linux và Windows chạy đồng thời”. “Điều này có thể mở cửa cho kẻ tấn công chạy mã độc và sử dụng tính năng mà WSL cung cấp để giấu mình khỏi các công cụ bảo mật”.

Ai là kẻ có tội? Microsoft hay các giải pháp bảo mật?

Để chạy ứng dụng Linux trong môi trường độc lập, Microsoft giới thiệu Pico Processes - container cho phép chạy ELF nhị phân trên Windows. Trong quá trình chạy thử, các nhà nghiên cứu có thể thử nghiệm tấn công bằng Bashware trên “hầu hết các sản phẩm bảo mật và diệt virus hiện có” và đều vượt qua chúng thành công.

Đó là bởi không phần mềm nào giám sát được quy trình Pico, ngay cả khi Microsoft đã cung cấp Pico API, một giao diện lập trình ứng dụng đặc biệt được các công ty bảo mật dùng để giám sát những quy trình như vậy.

“Bashware không sử dụng bất kì logic hay lỗi thực thi nào trong WSL. Thực tế thì WSL dường như được thiết kế rất tốt”. “Điều cho phép Bashware vận hành được là do các công ty cung cấp phần mềm bảo mật chưa biết vì công nghệ này khá mới”.

Tấn công Bashware đòi hỏi quyền admin, liệu có khó hơn trên PC?

Bashware đòi hỏi quyền quản trị để truy cập máy mục tiêu nhưng để chiếm được quyền quản trị trên Windows PC qua các kiểu tấn công lừa đảo hay đánh cắp thông tin đăng nhập cũng không phải là khó.

Tuy vậy, những kiểu tấn công đó lại dễ dàng bị các phần mềm bảo mật phát hiện, khiến chúng bị chặn lại trước khi Bashware kịp tấn công.

Vì WSL không được mặc định tắt đi nên người dùng phải tự bật chế độ “Development Mode” trên máy để dùng, hiểm họa cũng giảm được phần nào.

Các phần mềm bảo mật hiện tại không thể phát hiện ra Bashware

Tuy vậy, các nhà nghiên cứu tại Check Point cũng cho biết có một sự thật ít ai biết là chế độ cho nhà phát triển có thể được bật bằng cách chỉnh sửa một số Registry Key, có thể làm âm thầm ở chế độ nền khi kẻ tấn công có được quyền.

Kỹ thuật tấn công Bashware tự động hóa quy trình cần thiết bằng cách âm thầm tải các yếu tố WSL, kích hoạt chế độ nhà phát triển, thậm chí là tải và giải nén tập tin hệ thống Linux từ máy chủ của Windows và chạy malware.

Không cần viết phần mềm malware riêng biệt

Điều thú vị ở Bashware là hacker không cần viết phần mềm mã độc riêng cho Linux để chạy qua WSL trên máy Windows. Đó là nhờ Bashware cài phần mềm gọi là Wine bên trong môi trường Ubuntu đã được tải về, sau đó chạy mã độc Windows qua đó. Mã độc này sau đó sẽ khởi chạy trong Windows như một quy trình Pico, vì thế phần mềm bảo mật không thể phát hiện.

400 triệu máy tính có khả năng tiềm tàng trước hiểm họa Bashware

Kỹ thuật tấn công mới không sử dụng bất kì lỗ hổng WSL nào mà do các sản phẩm bảo mật không chú ý tới WSL. Vì Shell Linux đã có trên Windows, có thể có tới 400 triệu PC đang chạy Windows bị ảnh hưởng. Check Point nói rằng phần mềm của họ đã được nâng cấp để chống lại kiểu tấn công này và khuyến nghị các phần mềm khác cũng nhanh chóng cập nhật.