El subsistema Linux en Windows 10 permite que el malware se vuelva totalmente indetectable


Microsoft ha estado expresando su amor por Linux desde hace casi tres años, y este amor le cuesta a Microsoft un brazo y una pierna.

El año pasado, Microsoft sorprendió a todos anunciando la llegada de Windows Subsystem para Linux(WSL) en Windows 10, que trae la shell de línea de comandos de Linux a Windows , permitiendo a los usuarios ejecutar aplicaciones nativas de Linux en el sistema Windows sin virtualización.

Sin embargo, investigadores de seguridad de la firma Check Point Software Technologies han descubierto un posible problema de seguridad con la función WSL que podría permitir que las familias de malware diseñadas para equipos Windows con destino a Linux no sean detectadas por todos los programas de seguridad actuales.

Los investigadores diseñaron una nueva técnica de ataque, llamada Bashware , que se aprovecha de la función incorporada de WSL de Windows, que ahora está fuera de beta y está programado para llegar a la actualización de Windows 10 Fall Creators en octubre de 2017.
Bashware Attack no detectable por todas las soluciones antivirus y de seguridad

Según los investigadores de CheckPoint, la técnica de ataque de Bashware podría ser abusada incluso por una conocida familia de malware de Linux, porque las soluciones de seguridad para Windows no están diseñadas para detectar dichas amenazas.

Este nuevo ataque podría permitir a un atacante ocultar cualquier malware de Linux incluso de las soluciones de seguridad más comunes, incluyendo la próxima generación de software antivirus, herramientas de inspección de malware, y otras herramientas.

¿Pero por qué? Los investigadores sostienen que los paquetes de software de seguridad existentes para los sistemas Windows aún no han sido modificados para supervisar los procesos de ejecutables de Linux que se ejecutan en el sistema operativo Windows.

“Las soluciones de seguridad existentes aún no están adaptadas para monitorear los procesos de los ejecutables Linux que se ejecutan en Windows OS, un concepto híbrido que permite que una combinación de sistemas Linux y Windows se ejecuten al mismo tiempo”, dicen los investigadores de Check Point. 

“Esto puede abrir una puerta a los ciberdelincuentes que desean ejecutar su código malicioso sin ser detectados, y permitirles utilizar las características proporcionadas por WSL para ocultar los productos de seguridad que aún no han integrado los mecanismos de detección adecuados”.

¿Quién es el culpable? Microsoft o proveedores de seguridad?

Con el fin de ejecutar la aplicación de destino de Linux en un entorno aislado, Microsoft introdujo ” Pico procesos ” contenedores que permiten la ejecución de binarios ELF en el sistema operativo Windows.

Durante sus pruebas, los investigadores de Check Point pudieron probar el ataque de Bashware a “la mayoría de los principales antivirus y productos de seguridad del mercado”, y superar con éxito todos ellos.

Es porque ningún producto de seguridad supervisa los procesos de Pico, incluso cuando Microsoft ya proporciona Pico API, una interfaz de programación de aplicaciones especial que puede ser utilizada por las compañías de seguridad para supervisar dichos procesos.

Bashware no aprovecha cualquier falla lógica o de implementación en el diseño de WSL. De hecho, WSL parece estar bien diseñada”, concluyeron los investigadores. 

“Lo que permite que Bashware funcione de la manera en que lo hace es la falta de conciencia de varios vendedores de seguridad, debido al hecho de que esta tecnología es relativamente nueva y amplía los conocidos límites del sistema operativo Windows”.

Sí, Bashware requiere acceso de administrador en los equipos de destino, pero obtener privilegios de administrador en PCs de Windows a través de ataques de phishing o de credenciales de administrador robadas no es una tarea difícil para un atacante motivado.

Sin embargo, estos ataques adicionales también podrían alertar a los antivirus y productos de seguridad, advirtiendo antes que el ataque real de Bashware pueda ser ejecutado para ocultar el malware.
Dado que WSL no está activado de forma predeterminada, y los usuarios deben activar manualmente el “modo de desarrollo” en sus sistemas informáticos para poder utilizarlo y reiniciar el sistema, los riesgos planteados por la característica se ven atenuados hasta cierto punto.Sin embargo, los investigadores de Check Point dicen que es un hecho poco conocido que el modo de desarrollador puede habilitarse modificando unas cuantas claves del registro, lo que puede hacerse en silencio en el fondo por los atacantes con los privilegios correctos.

La técnica de ataque de Bashware automatiza los procedimientos requeridos cargando silenciosamente los componentes WSL, habilitando el modo de desarrollador, descargando y extrayendo el sistema de archivos Linux de los servidores de Microsoft y ejecutando programas maliciosos.

No hay necesidad de escribir programas de malware separados

¿Qué es interesante acerca de Bashware? Los hackers que utilizan Bashware no están obligados a escribir programas de malware para Linux para ejecutarlos a través de WSL en equipos Windows.

Este esfuerzo adicional se ahorra con la técnica Bashware que instala un programa llamado Wine dentro del entorno de espacio de usuario de Ubuntu descargado y luego lanza el malware conocido de Windows a través de él.

El malware se inicia en Windows como procesos pico, que lo ocultará del software de seguridad.

400 millones de computadoras potencialmente expuestas a Bashware

La técnica de ataque recién descubierta no aprovecha la implementación de la vulnerabilidad de WSL, sino que se debe a la falta de interés y sensibilización de varios proveedores de seguridad hacia WSL.

Dado que el shell de Linux ya está disponible para los usuarios de Windows, los investigadores creen que Bashware puede afectar potencialmente a cualquiera de los 400 millones de PC que actualmente ejecutan Windows 10 en todo el mundo.

Los investigadores de Check Point dijeron que su compañía ya había actualizado sus soluciones de seguridad para combatir tales ataques y están instando a otros proveedores de seguridad a modificar y actualizar sus soluciones anti-virus y de seguridad de próxima generación.

log in

reset password

Back to
log in