Bashware es el nombre que ha recibido una técnica que permitiría a un atacante con los conocimientos suficientes ejecutar binarios maliciosos sobre WSL para saltarse el software de seguridad instalado en una copia de Windows 10.
Para los que anden perdidos, WSL (Windows Subsystem for Linux) es un subsistema que permite ejecutar binarios de Linux sobre Windows 10. En su día fue presentado como Ubuntu Bash, y aunque empezó centrándose en la conocida distribución de Canonical, más adelante se anunciaría la disponibilidad de distribuciones como Fedora y openSUSE para WSL. El hecho de usar en un principio el término Bash no es casual, ya que solo permite la ejecución de aplicaciones y programas de Linux a nivel de consola, no soportando, al menos de momento, interfaz gráfica. Esta tecnología, desarrollada por la propia Microsoft, ha estado en estado beta durante mucho tiempo y se espera que sea liberada como estable en octubre del presente año, cuando se publique Windows 10 Fall Creators Update.
Volviendo Bashware, han sido los investigadores en seguridad de Check Point los que han publicado los detalles técnicos, explicando que permite a los desarrolladores de malware utilizar la shell de Linux de WLS para realizar operaciones ocultas, entre ellas la ejecución de binarios maliciosos. Lo peor de todo es que parece que los antimalware, incluso los de última generación, no son capaces de detectar dichas operaciones, dejando el campo abierto a los atacantes. El origen está en la carencia de soporte por parte de los antimalware para los procesos Pico, una tecnología de contenedores creado para WSL.
Bashware requiere de acceso a nivel de administrador en Windows 10 para habilitar WSL, ya que esta característica viene inhabilitada por defecto, además de la activación del Modo de Desarrollo del sistema operativo. En este escenario no se puede descartar la explotación de alguna vulnerabilidad de escalada de privilegios para activar ambas características, aunque igualmente necesitaría de un reinicio del ordenador para completar la operación.
Tras la activación de WSL, las herramientas necesarias para su funcionamiento pueden ser descargadas de forma silenciosa de los servidores de Microsoft para completar la instalación, pudiendo luego el atacante utilizar la línea de comandos Bash para ejecutar operaciones maliciosas.
Check Point dice que un atacante podría utilizar comandos de Linux (mediante Bash) para interactuar con Windows 10, y en caso de no querer llevar a cabo las operaciones directamente debido a que podrían ser detectadas, los ejecutables maliciosos podrían ser puestos en marcha sobre Wine, que se encargaría de traducir las órdenes a Linux, mientras que WSL las convertiría en operaciones del Windows anfitrión. Wine es un conjunto de API de Windows realizadas con ingeniería inversa para poder ejecutar aplicaciones para ese sistema sobre Linux y otros Unix y Unix-like.
Para poder arreglar el problema generado por Bashware los vendedores de soluciones de seguridad tienen que añadir el soporte para WSL y los procesos Pico antes de que Windows 10 Fall Creators Update sea liberado.
Check Point ha publicado todos los detalles de Bashware en un informe junto a un vídeo demostrativo en YouTube.
Fuente:https://muyseguridad.net/2017/09/12/bashware-abusa-wsl-windows-10/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
