Trang chủ Security

Linux Subsystem trên Windows 10 cho phép các phần mềm độc hại trở nên hoàn toàn không thể phát hiện

Linux Subsystem trên Windows 10 cho phép các phần mềm độc hại trở nên hoàn toàn không thể phát hiện

Microsoft đang bày tỏ tình yêu của hãng cho Linux khoảng 3 năm trở lại đây, và nó khiến Microsoft tốn rất nhiều tiền. Năm ngoái, Microsoft đã làm mọi người ngạc nhiên khi thông báo sự trở lại của Windows Subsystem for Linux (WSL) trong Windows 10, điều này mang Linux command-line shell tới Windows, cho phép người sử dụng chạy các ứng dụng Linux gốc trên hệ thống Windows mà không cần ảo hóa.

Tuy nhiên, các nhà nghiên cứu bảo mật từ hãng bảo mật Check Point Software Technologies đã phát hiện ra một vấn đề bảo mật tiềm tàng với tính năng WSL mà có thể cho phép các dòng phần mềm độc hại  được thiết kế cho Linux có mục tiêu là các máy tính Windows - không bị phát hiện bởi tất cả các phần mềm bảo mật hiện tại.

Các nhà nghiên cứu đã phát hiện ra một kỹ thuật tấn công mới, Bashware, tận dụng lợi thế của tính năng WSL tích hợp sẵn của Windows, hiện đang hết giai đoạn beta và chuẩn bị được nâng cấp trong Windows 10 Fall Creators Update vào tháng 10/2017.

Bashware Attack không thể bị phát hiện bởi tất cả các giải pháp diệt Virus và bảo mật

Theo các nhà nghiên cứu của CheckPoint, kỹ thuật tấn công Bashware có thể bị lạm dụng bởi một dòng phần mềm độc hại Linux đã biết, vì các giải pháp bảo mật cho Windows  không được thiết kể để phát hiện ra các mối đe dọa như vậy.

Loại tấn công mới này cho phép kẻ tấn công ẩn dấu bất kì phần mềm độc hại Linux nào khỏi các giải pháp bảo mật phổ biến nhất, bao gồm cả phần mềm diệt Virus thế hệ tiếp theo, công cụ điều tra các phần mềm độc hại, giải pháp chống mã độc đòi tiền chuộc (ransomeware) và các công cụ khác.

Nhưng tại sao lại như vậy? Các nhà nghiên cứu cho rằng các gói phần mềm bảo mật hiện tại cho Windows vẫn chưa được sửa đổi để giám sát các tiến trình của các tập tin thực thi Linux trên hệ điều hành Windows.

Các nhà nghiên cứu của CheckPoint nói rằng: "Những giải pháp bảo mật hiện nay vẫn chưa phù hợp để giám sát các tiến trình  của các tập tin thực thi Linux trên Windows OS. Một khái niệm ghép cho phép sự kết hợp giữa Linux và Windows có thể chạy cùng lúc".

"Điều này có thể mở ra một cơ hội cho tội phạm mạng chạy các mã độc mà không thể bị phát hiện, và cho phép chúng sử dụng những tính năng được cung cấp bởi WSL để tránh khỏi các sản phẩm bảo mật vẫn chưa tích hợp các cơ chế dò tìm thích hợp."

Lỗi tại ai? Microsoft hay các nhà cung cấp bảo mật?

Để chạy các ứng dụng đích Linux trong một môi trường độc lập, Microsoft đã giới thiệu tiến trình Picco – các containers cho phép chạy ELF binaries trên hệ điều hành Windows.

Trong suốt quá trình thử nghiệm, các nhà nghiên cứu của CheckPoint đã có thể kiểm tra tấn công Bashware trên "Hầu hết các sản phẩm diệt virus và bảo mật hàng đầu trên thị trường" và vượt qua chúng một cách thành công.

Điều đó là vì không có sản phẩm bảo mật nào giám sát tiến trình Pico, thậm chí khi Microsoft cung cấp Pico API, một ứng dụng lập trình giao diện mà có thể được sử dụng bởi các công ty bảo mật để giám sát những tiến trình như vậy.

Các nhà nghiên cứu kết luận rằng: "Bashware không sử dụng bất kỳ một thiếu sót logic hoặc thực thi nào trong thiết kế của WSL. Thực tế thì WSL đã được thiết kế rất tốt."

"Điều mà cho phép Bashware vận hành theo cách nó đã làm là sự thiếu nhận thức của nhiều nhà cung cấp bảo mật, vì thực tế thì công nghệ này tương đối mới và nó mở rộng giới hạn của hệ điều hành Windows."

Những kẻ tấn công Bashware yêu cầu quyền của quản trị viên - Liệu nó có khó trên Windows PC?

Câu trả lời là có. Bashware yêu cầu quyền truy cập của quản trị viên trên các máy tính đích, nhưng việc giành được đặc quyền của quản trị viên trên Windows PCs thông qua các cuộc tấn công lừa đảo hoặc đánh cắp các thông tin mật của quản trị viên thì không phải là một nhiệm vụ khó với một kẻ tấn công có động cơ.

Tuy nhiên, những cuộc tấn công bổ sung này có thể cũng cảnh báo với các sản phẩm diệt virus và bảo mật, phá hủy các cuộc tấn công trước khi các cuộc tấn công Bashware thực sự được thực thi để ẩn giấu phần mềm độc hại.

Vì WSL không được bật mặc định, và người sử dụng được yêu cầu phải kích hoạt thủ công “development mode” trên hệ thống máy tính của mình để sử dụng nó và khởi động lại hệ thống, rủi ro của tính năng đã được giảm bớt ở một vài phạm vi.

Tuy nhiên các nhà nghiên cứu của CheckPoint đã nói về một sự thật ít được biết là “development mode” có thể được cho phép bằng việc sửa đổi một vài khóa registry đăng kí, mà có thể được làm một cách thầm lặng bởi những kẻ tấn công với đầy đủ đặc quyền.

Kỹ thuật tấn công Bashware tự động hóa các thủ tục yêu cầu bằng cách âm thầm tải thêm các thành phần WSL, kích hoạt “development mode”, thậm chí tải về và giải nén các file Linux từ các máy chủ của Microsoft, và chạy phần mềm độc hại.

Không cần viết các chương trình độc hại riêng biệt

Điều thú vị về Bashware là gì? Các hacker sử dụng Bashware thì không bắt buộc phải viết các chương trình độc hại cho Linux để chạy chúng thông qua WSL trên các máy Windows.

Nỗ lực này đã được cứu vớt bởi kỹ thuật Bashware - cài đặt một chương trình được gọi là Wine bên trong môi trường người dùng Ubuntu, và sau đó phát tán phần mềm độc hại Windows thông qua nó.

Phần mềm độc hại bắt đầu với Windows như các quy trình Pico, điều này sẽ che dấu nó khỏi các phần mềm bảo mật.

400 triệu máy tính có nguy cơ gặp phải Bashware

Kỹ thuật tấn công được khám phá mới đây không thúc đẩy bất kì sự bổ sung thiếu sót nào của WSL, nhưng là sự thiếu quan tâm và nhận thức bởi các nhà cung cấp bảo mật hướng tới WSL.

Vì Linux shell ngày nay đã có sẵn cho người dùng Windows, nên các nhà nghiên cứu tin rằng Bashware vẫn có thể ảnh hưởng tới một trong 400 triệu PCs đang chạy Win 10 trên toàn thế giới.

Các nhà nghiên cứu của CheckPoint nói rằng công ty của họ đã nâng cấp các giải pháp bảo mật để chống lại những cuộc tấn công như vậy, và đang thúc giục các nhà cung cấp bảo mật khác sửa đổi và nâng cấp phù hợp các giải pháp diệt virus và bảo mật thế hệ tiếp theo của mình.

>>Xem thêm: Hệ điều hành macOS High Sierra để lỗ mật khẩu mã hóa ổ đĩa trong ô gợi ý