Elia Tufarolo

Bashware, Windows 10 violato dalla Shell Linux

Checkpoint descrive una vulnerabilitÓ del componente Windows Subsystem for Linux disponibile per Windows 10 e Windows Server 2016. Microsoft ritiene per˛ il problema un rischio basso per la sicurezza del proprio OS

Roma - I ricercatori di Checkpoint Security Research Gal Elbaz e Dvir Atias hanno pubblicato un articolo in cui dimostrano la possibilità di effettuare un attacco utilizzando WSL (Windows Subsystem for Linux), un componente opzionale di Windows 10 e Windows Server 2016 che consente l'uso di comandi Linux su un ambiente Windows, senza il bisogno di ricorrere alla virtualizzazione. L'attacco è stato chiamato bashware dagli stessi ricercatori.

Windows Subsystem for Linux è stato rilasciato in beta ad agosto dello scorso anno, con l'Anniversary Update di Windows 10, e ne è uscito ufficialmente poco meno di due mesi fa; si compone di una serie di strumenti che consentono l'interazione tra eseguibili Linux e l'ambiente Windows su cui risiedono: un'istanza Linux viene eseguita in user mode, all'interno della stessa vengono eseguiti gli applicativi Linux, sotto forma di appositi processi Pico le cui istruzioni vengono tradotte da chiamate di sistema Linux ad API Windows da due driver Pico: lxss.sys e lxcore.sys.

architettura wsl

I processi Pico sono processi leggeri che non contengono le strutture dati tipiche dei processi NT, come il process environment block: nonostante ciò, sono in grado di interagire con il sistema operativo - sia in modalità utente che in modalità kernel - allo stesso livello di un processo NT classico, attraverso gli appositi driver.
architettura processi pico

L'attacco documentato si suddivide in quattro fasi: nella prima viene abilitato WSL utilizzando un comando dell'utility DISM:

Dism /online /Enable-Feature /FeatureName:Microsoft-Windows-Subsystem-Linux /All

In seguito all'installazione del componente, la quale prevede il riavvio del computer, va abilitata la modalità developer; per fare ciò è necessario avere il controllo di un utente con il ruolo di amministratore di sistema locale, e scrivere due chiavi di registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\AppModelUnlock\AllowAllTrustedApps
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\AppModelUnlock\AllowDevelopmentWithoutDevLicense

In seguito, va installato un sistema operativo Linux, tra quelli disponibili all'interno del Windows Store (Ubuntu, SUSE, Fedora), ma la peculiarità nell'attacco si trova all'interno dell'ultima fase: installando WineHQ all'interno dell'istanza Linux, risulta possibile eseguire un'applicazione Windows all'interno di WSL, rendendola invisibile all'ecosistema Windows soprastante. Ciò avviene in quanto le chiamate NT dell'applicazione vengono convertite da Wine in chiamate POSIX, per poi essere riconvertite in chiamate NT dai driver Pico: in quest'ultima fase, il driver lxcore.sys diventa l'effettivo chiamante del processo maligno.


Un'ulteriore vulnerabilità riscontrata dai ricercatori riguarda il download e l'installazione del sotto-sistema operativo Linux: l'istanza Linux viene salvata sotto forma di archivio tar.gz in una cartella nascosta contenuta in %APPDATA%; una volta terminato il download, l'archivio viene estratto all'interno della stessa cartella. Tuttavia, l'unico controllo di sicurezza atto a verificare l'autenticità dell'archivio è un file di testo, contenente l'hash dello stesso, in formato SHA256. Un attaccante potrebbe quindi calcolare l'intervallo di tempo giusto per manomettere il valore dell'hash e sostituire di conseguenza il file system Linux con uno contraffatto, in grado di eseguire software malevolo bypassando le funzionalità di sicurezza di Windows come l'UAC.

Un portavoce Microsoft ha rilasciato dichiarazioni ufficiali via email a Motherboard, ritenendo la vulnerabilità poco significativa in termini di rischio per l'utente, a causa della quantità di passi necessari e della necessità di una privilege escalation per abilitare la modalità developer.

Elia Tufarolo

Fonte immagini 1, 2
Notizie collegate
85 Commenti alla Notizia Bashware, Windows 10 violato dalla Shell Linux
Ordina
  • .....quasi 100 post di vari utonti e nessuno ha detto che per violare l'OS occorre avere i permessi di admin... grazie al caxxo direi.... Deluso
    certo che il livello di idiozia che circola in questo forum è da record .... Perplesso
    non+autenticato
  • Non credo che qualcuno dei "fenomeni" che hanno commentato abbia realmente letto l'articolo... se uno ha le credenziali (di amministratore!) ed il tempo necessari a installare un componente di sistema, riavviare il sistema stesso, modificare il registro, effettuare il download e l'installazione di una distro linux con wine ed infine installare un programma windows su quest'ultimo, significa che ha già un accesso più che completo alla macchina e ai dati in essa contenuti, a quel punto ci sono mille e uno modi più semplici di farle fare qualunque cosa all'insaputa dell'utente...
    Mi sembra una non notizia.
  • Il titolo dovrebbe essere:

    "WSL: i programmatori microsoft scazzano ancora una volta".
    non+autenticato
  • Ma perchè non andate semplicemete a cagare con la vostra powerashella di mer*a?

    Occhio che la domanda è retorica.
    non+autenticato
  • ... non ci si stupisca se poi quello ti uccide.
    non+autenticato
  • Vero. M$ tocca e merda diventa.
    non+autenticato
  • - Scritto da: meh
    > Vero. M$ tocca e merda diventa.
    Quello che m3rda era già, vero, confermo.
    Ti era riamsta la fine della frase nella tastiera
    non+autenticato
  • Riproduci lo stesso bug su una shell linux nativa. NON SI PUO', ergo sei un COGLIONE.
    non+autenticato
  • Il problema è nato dal successo di Docker su Linux. La maggior parte degli sviluppatori erano stati assorbiti da un piattaforma che per funzionare aveva bisogno di macchine Linux, Docker su Windows senza gli ultimi agggiornamenti serviva a poco.
    Per recuperare mercato hanno messo su un accrocchio che bypassa la protezione della virtualizzazione (Anche Docker bypassa alcune proteziooni della virtualizzazione, ma lo fa per ridurre l'overhead e NON MESCOLA sistemi operativi diversi). Adesso hanno paura di aggiustarlo perché è talmente complicato che dai una martellata da un lato rompi qualcosa da un altro lato.
    non+autenticato
  • - Scritto da: 55840658928
    > Il problema è nato dal successo di Docker su
    > Linux. La maggior parte degli sviluppatori erano
    > stati assorbiti da un piattaforma che per
    > funzionare aveva bisogno di macchine Linux,
    > Docker su Windows senza gli ultimi agggiornamenti
    > serviva a
    > poco.


    Docker e' solo un esempio tra mille.
    La verita' e' che lo sviluppatore, il sistemista, il tecnico competente, colui che usa il computer per quello che e', ovvero uno strumento che permette di essere programmato, vuole linux.

    La prova inconfutabile di questa ovvieta' te la forniranno gli utonti detrattori, che essendo INCAPACI, odiano linux che evidenzia la loro INCAPACITA' agli occhi del mondo.
  • > Docker e' solo un esempio tra mille.
    > La verita' e' che lo sviluppatore, il sistemista,
    > il tecnico competente, colui che usa il computer
    > per quello che e', ovvero uno strumento che
    > permette di essere programmato, vuole
    > linux.
    >

    Cazzate. Lo sviluppatore si adatta a quello che trova sul posto di lavoro. Solo gli utonti non sanno passare da un sistema all'altro.

    Docker è stato uno dei primi prodotti che ha avuto un impatto vero sulla produttività in fase di deployment. E' la parte sistemistica che ha portato più vantaggi.
    non+autenticato
  • - Scritto da: 55840658928
    > > Docker e' solo un esempio tra mille.
    > > La verita' e' che lo sviluppatore, il
    > sistemista,
    > > il tecnico competente, colui che usa il
    > computer
    > > per quello che e', ovvero uno strumento che
    > > permette di essere programmato, vuole
    > > linux.
    > >
    >
    > Cazzate. Lo sviluppatore si adatta a quello che
    > trova sul posto di lavoro.

    Vero.
    Ma sa perfettamente distinguere tra cioccolata e windows.

    > Solo gli utonti non
    > sanno passare da un sistema
    > all'altro.

    Pero' quando gli impongono winx preinstallato, se lo fanno piacere per forza.


    > Docker è stato uno dei primi prodotti che ha
    > avuto un impatto vero sulla produttività in fase
    > di deployment. E' la parte sistemistica che ha
    > portato più
    > vantaggi.

    Questo punto non e' mica in discussione.
  • Riuscirà anche snap a portare vantaggi, anche se solo a livello di singola applicazione ?
    non+autenticato
  • - Scritto da: 55840658928
    > > Docker e' solo un esempio tra mille.
    > > La verita' e' che lo sviluppatore, il
    > sistemista,
    > > il tecnico competente, colui che usa il
    > computer
    > > per quello che e', ovvero uno strumento che
    > > permette di essere programmato, vuole
    > > linux.
    > >
    >
    > Cazzate. Lo sviluppatore si adatta a quello che
    > trova sul posto di lavoro.

    Clicca per vedere le dimensioni originali

    «Oggi attacco alle 2...»
    Shiba
    4092
  • >
    > [img]http://www.plcforum.it/f/uploads/monthly_2017
    >
    > «Oggi attacco alle 2...»


    E ti lamenti. Non ti immagini le madonne che tiro giù quando spengo il PC per tornare a casa la sera, devo prendere il treno e mi ritrovo la sorpresa (a volte sono tanto assorbito dal lavoro che mi capita di non notare l'iconcina in basso).
    non+autenticato
  • Che gli agggiornamenti facciano schifo e il riavvio necessario sia ridicolo ok, ma non si capisce perché tu debba aspettare che finisca gli aggiornamenti prima di andartene.
    non+autenticato
  • - Scritto da: ...
    > Che gli agggiornamenti facciano schifo e il
    > riavvio necessario sia ridicolo ok, ma non si
    > capisce perché tu debba aspettare che finisca gli
    > aggiornamenti prima di
    > andartene.

    Perche' ti dice chiaramente "non spegnere il computer altrimenti si sputtana il disco".
    Ed e' l'unica funzione di windows che funziona sempre, quella di sputtanarti il disco.
  • - Scritto da: panda rossa
    > - Scritto da: ...
    > > Che gli agggiornamenti facciano schifo e il
    > > riavvio necessario sia ridicolo ok, ma non si
    > > capisce perché tu debba aspettare che
    > finisca
    > gli
    > > aggiornamenti prima di
    > > andartene.
    >
    > Perche' ti dice chiaramente "non spegnere il
    > computer altrimenti si sputtana il
    > disco".
    > Ed e' l'unica funzione di windows che funziona
    > sempre, quella di sputtanarti il
    > disco.

    Sfogati qua che in altri articoli non puoi più, bravo
    non+autenticato
  • - Scritto da: panda rossa
    > - Scritto da: ...
    > > Che gli agggiornamenti facciano schifo e il
    > > riavvio necessario sia ridicolo ok, ma non si
    > > capisce perché tu debba aspettare che
    > finisca
    > gli
    > > aggiornamenti prima di
    > > andartene.
    >
    > Perche' ti dice chiaramente "non spegnere il
    > computer altrimenti si sputtana il
    > disco"

    Quando finisce gli aggiornamenti si spegne da solo.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)