Bashware: Windows 10 über Linux-Komponente angreifbar

Moritz Rosenfeld on September 16, 2017 - 2:53 am in OSS

[ad_1]

Die Sicherheitsfirma Checkpoint hat eine Möglichkeit gefunden, wie man Windows-10-Rechner über die optionalen Linux-Komponenten des Betriebssystems angreifen kann. Allerdings übertreiben die Forscher den Ernst der Lage gehörig.

Das Windows Subsystem for Linux (WSL) kann von Malware dazu missbraucht werden, die Sicherheitsfeatures von Windows 10 zu umgehen. Das haben Sicherheitsforscher der Firma Checkpoint entdeckt. Laut Checkpoint bedroht die Lücke “potenziell alle 400 Millionen Rechner, die auf Windows 10 laufen.” Die von den Forschern Bashware genannte Bedrohung ist echt und kann für Angriffe genutzt werden, allerdings ist Checkpoints Einschätzung der gefährdeten Systeme stark übertrieben.

Zwar hat das WSL vor kurzem den Beta-Status verlassen, die Software muss aber momentan manuell vom Nutzer aus dem Windows Store installiert werden. WSL soll zwar Teil des kommenden Fall Creators Update für Windows werden, aber selbst dann sind die Funktionen nicht standardmäßig aktiv. Ganz im Gegenteil: Anwender, die die Linux-Funktionen nutzen wollen, müssen zuerst den Developer Mode von Windows 10 aktivieren, ein Schritt, vor dem Microsoft explizit warnt.

Checkpoints Szenario scheint arg weit hergeholt

Checkpoint postuliert einen Angriff, in dem Schadcode auf das System kommt, mit einem Zugriff auf die Registry den Developer Mode aktiviert und dann per DISM in der Kommandozeile das WSL installiert. Die Malware könne dann sämtliche nativen Schutzfunktionen von Windows umgehen, in dem sie über das Linux-Userland die Windows-Schnittstelle Wine installiert und Schadcode als ELF-Binaries an möglichen Schutzfunktionen vorbei ausführt. Um diesen Angriff erfolgreich durchführen zu können, muss der Angreifer allerdings durch hypothetische Schwachstellen Code auf das System bekommen und dann seine Nutzerrechte über Lücken so weit eskalieren, dass er die Registry manipulieren kann.

Die zugrunde liegende Schwachstelle basiert darauf, dass das WSL mehr als nur einen Port der Bash-Shell auf Windows darstellt. Es enthält ein komplettes Linux-Userland und zum Teil auch Linux-Kernel-Komponenten, die zusammen eine Kompatibilitätsschicht für Linux-Programme und -Befehle bilden. So kann der Nutzer Bash-Kommandozeilenbefehle ausführen, die dann in Anfragen übersetzt werden, die der Windows-Kernel versteht und ausführen kann. Da die Sicherheitsfunktionen von Windows und AV-Programme von Drittherstellern diese Befehle bisher nicht prüfen, öffnen sich Schlupflöcher für Angreifer, die Schadcode ausführen wollen.

Die Masse der Windows-10-Nutzer ist nicht betroffen

Von dem Angriff betroffen sind momentan wohl nur Software-Entwickler, die den Developer Mode aktiviert und WSL installiert haben. Angriffe in Kombination mit anderen Lücken, wie Checkpoint sie beschreibt, sind zwar denkbar, in einem solchen Fall kann ein potenzieller Angreifer aber immer aus einer ganzen Sammlung von Attacken schöpfen. Ob ein Angriff über das WSL hier am praktikabelsten ist, wird sich erst noch zeigen müssen. Eine Gefährdung für alle Windows-10-Rechner besteht aber wohl kaum. (fab)

[ad_2]