Check Point: Linux-Subsystem macht Windows 10 angreifbar

Windows 10 (Grafik: Microsoft

Malware kann über das Linux-Subsystem Antiviren-Lösungen umgehen, warnt Sicherheitsanbieter Check Point. Dennoch sei das WSL fehlerfrei implementiert. Microsoft kennt die Gefahr, hält sie aber für gering.

Das Subsystem for Linux (WSL) in Windows 10 kann von Angreifern verwendet werden, um Malware an Antivirenlösungen vorbeizuschleusen. Vor Kurzem hat das Tool die Beta-Phase verlassen und ist jetzt ein voll unterstütztes Feature in Windows 10. Microsoft will damit den Kommandozeilen-Support von Windows 10 erweitern. Zudem soll es Entwickler unterstützen, die dadurch Support für das verbreitete Bash-Terminal in Windows 10 bekommen.

Der Angriff über das Linux Subsystem (WSL) geschieht in vier Schritten und ist daher schwierig auszunutzen. Jetzt müssen Anbieter von Sicherheitslösungen nachbessern, fordert Check Point. (Bild: Check Point)
Der Angriff über das Linux Subsystem (WSL) geschieht in vier Schritten und ist daher schwierig auszunutzen. Jetzt müssen Anbieter von Sicherheitslösungen nachbessern, fordert Check Point. (Bild: Check Point)

Die Experten von Check Point haben für die neue entdeckte Sicherheitslücke in einem detaillierten Blog den Begriff “Bashware” geprägt. Denn über eine Linux-Instanz können die meisten Windows-Sicherheitslösungen umgangen werden.

Nachdem WSL in allen Windows-10-Versionen unterstützt wird, könnten alle 500 Millionen Nutzer dadurch gefährdet sein. “Bestehende Sicherheitslösungen sind noch nicht darauf ausgerichtet, Prozesse unter Linux, die auf Windows laufen zu überwachen”, so die Experten in dem Blog. Allerdings schweigen sich die Forscher derzeit noch darüber aus, ob es bereits Angriffe auf Windows-Systeme über diesen Vektor gibt.

Weil beide Betriebssysteme in einem hybriden Konzept parallel auf dem Rechner laufen, können Kriminelle ihren Schadcode unentdeckt abspielen und sich mit den Funktionen, die WSL bietet, vor den Sicherheitslösungen verbergen, die noch keine geeigneten Mechanismen integriert haben.

Ausgewähltes Whitepaper

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

WSL startet in einer Emulation einen Linux-Kernel und darauf aufbauend Container, in denen die ELF-Binaries laufen können. Das Subsystem leitet auch die Linux-Systemaufrufe an den Windows-Kernel weiter. Dabei kommen zwei .sys-Treiber zum Einsatz, die den Linux-Kernel emulieren und die Linux-Befehle für die API des Windows-NT-Kernels übersetzen.

Eine “Bashware” erlaubt einem Angreifer dann, ELF- oder Windows EXE-basierte Malware zu starten. Weil die Prozesse in Windows NT und die im Linux-Container ähnlich sind, kann diese Malware unerkannt ausgeführt werden, erklären die Check-Point-Experten.

Bashware-Attcken relativ kompex auszuführen

Allerdings sind diese Attacken relativ komplex. Der Angriff besteht aus vier Schritten. Zunächst muss die Malware prüfen, ob WSL aktiviert ist. Bei der überwiegenden Mehrheit der Nutzer dürfte das wohl nicht der Fall sein. Im zweiten Schritt müssen die Angreifer manuell in den Entwickler-Modus wechseln, was den Angriff zusätzlich erschwert.

Ausgewähltes Whitepaper

Optimierungsbedarf bei Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Anschließend müssen die Angreifer auf dem Zielsystem eine Linux-Instanz, ein Linux-Dateisystem und die “Emulation” Wine starten. Wine steht für “Wine is not an Emulator”, dennoch sorgt die Open-Source-Software dafür, dass Windows auf Linux, Mac oder anderen Host-Systemen läuft.

Die Check-Point-Experten haben schließlich versucht, aus der Linux-Instanz Windows anzugreifen. Über Wine konnten die Angreifer zudem in WSL Windows-Malware ausführen und so Sicherheitsscanner umgehen.

In dem Blog halten die Forscher aber fest, dass es keine fehlerhafte Implementierung ist, die zu dieser Sicherheitslücke führt. Vielmehr öffne das WSL eine “neue, bisher unbekannte Grenze” von Windows und die werde derzeit von den Sicherheitsprodukten noch nicht kontrolliert.

Bei der Sicherung dieses neuen Vektors aber könnten auch die Kompatibilitäts-Tools helfen, die Microsoft für die Linux-Shell verfügbar gemacht hat. Gegenüber The Register hatte Microsoft erklärt, dass man die neue Gefahr in Kauf genommen habe, weil die notwendigen Schritte sowie ein notwendiger Neustart das Risiko einer Infektion stark mindern.



Tipp: Wie gut kennen Sie sich mit Open Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.