Você já ouviu falar de Bashware? É aparentemente uma nova forma de malware para comprometer um anteriormente indisponíveis do Windows 10 recurso chamado Subsistema para Linux. O chamado Bashware pode ser implantado para aplicações de segurança de bypass em um endpoint.
Os pesquisadores da Check Point descobriram recentemente “um método novo e alarmante que permite que qualquer malware conhecido contorne até mesmo as soluções de segurança mais comuns”, incluindo programas AV de última geração, ferramentas de inspeção, e ferramentas anti-ransomware. A técnica maliciosa foi chamada de Bashware e visa um novo Windows 10 recurso conhecido como subsistema para Linux.
O WSL disponibiliza o terminal bash para usuários do Windows. Graças a isso, os usuários podem executar executáveis Linux no sistema operacional da Microsoft. Infelizmente, soluções de segurança ainda não estão adaptadas a este conceito híbrido, pesquisadores dizem, criando uma oportunidade para os hackers explorarem sistemas e esconderem seus códigos maliciosos.
Por que o ataque do Bashware é tão perigoso e alarmante?
Em primeiro lugar, a exploração revela como é fácil manipular o recurso WSL que pode ser aproveitado por qualquer malware conhecido. A Check Point testou a técnica na maioria dos principais produtos de segurança disponíveis ao público, e os resultados foram bastante angustiantes. Em poucas palavras, “Bashware pode afetar potencialmente qualquer um dos 400 milhões de computadores atualmente executando o Windows 10 PC globalmente,”Afirmam os pesquisadores.
Mesmo que o ataque precise de privilégios de administrador para ser executado com sucesso em um sistema, ainda representa um grande perigo. Não obstante, malware direcionado ao sistema operacional mais recente da Microsoft ainda requer controle administrativo para habilitar o recurso WSL, já que está desabilitado por padrão. Depois que o recurso é habilitado, o malware deve ligar o Windows 10 Modo de Desenvolvimento.
Story relacionado: A Bíblia de Segurança do Windows do usuário em Updates e Defeitos
A má notícia é que a superfície de ataque do Windows é infestada por muitos EoP (Elevação de Privilégio) falhas que os invasores podem explorar para obter acesso de nível de administrador para ativar o WSL e carregar os drivers necessários usando o utilitário DISM. Ativar WSL é uma operação silenciosa, exigindo um único comando CLI.
Apesar desses detalhes técnicos, há muitas vulnerabilidades de elevação de privilégio no Windows, o que não torna muito mais difícil para os invasores encontrarem seu caminho para contornar o WSL, pesquisadores apontar.
O Bashware não aproveita nenhuma falha lógica ou de implementação no design do WSL. De fato, WSL parece ser bem projetado. O que permite que o Bashware opere da maneira que o faz é a falta de conscientização por parte de vários fornecedores de segurança, devido ao fato de que esta tecnologia é relativamente nova e expande as fronteiras conhecidas do sistema operacional Windows, pesquisadores concluem.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: