Bashware: Subsystem für Linux in Windows 10 angreifbar

[English]Das Subsystem für Linux (WSL) von Windows 10 macht das Betriebssystem angreifbar, weil Virenscanner und Sicherheitslösungen über eine als Bashware benannte Schwachstelle umgangen werden können.


Anzeige

Das hat die Sicherheitsfirma Check Point kürzlich herausgefunden und in diesem Blog-Beitrag dokumentiert. Laut Check Point haben deren Sicherheitsexperten eine neue und alarmierende Methode gefunden, die es jeder bekannten Malware erlaubt, selbst die gängigsten Sicherheitslösungen wie Antiviren, Inspektionstools und Anti-Ransomware der nächsten Generation zu umgehen.

Bashware setzt auf das Subsystem für Linux

Diese als Bashware bezeichnete Angriffsmethode verwendet die neue Windows 10-Funktion namens Subsystem für Linux (WSL), die vor kurzem die Betaphase beendet hat und nun eine vollständig unterstützte Windows-Funktion ist.

Diese Funktion macht das beliebte Bash-Terminal für Windows-Betriebssystembenutzer verfügbar und ermöglicht es den Benutzern, Linux-Betriebssystem-Executables auf dem Windows-Betriebssystem nativ auszuführen.

Das Problem: Bestehende Sicherheitslösungen sind noch immer nicht angepasst, um Prozesse von Linux-Executables auf Windows-Betriebssystemen zu überwachen. Mit anderen Worten: Das hybride Konzept, das eine Kombination von Linux- und Windows-Systemen gleichzeitig laufen lässt, steht offen wie ein Scheunentor. Während die Windows-Schiene durch Virenscanner auf allen möglichen Ebenen überwacht wird, könnten Cyberkriminellen, die ihren bösartigen Code unentdeckt ausführen möchten, den Angriff ohne Probleme durch die Linux-Hintertür vornehmen.


(Quelle: YouTube)

Das obige Video demonstriert diesen Angriff. Das alarmierende daran: Microsoft pflanzt in Windows 10 immer neue Funktionen ein, die dann aber extreme Folgewirkungen entfalten.

Die Krux mit Windows as a service

Das Bashware Szenario ist alarmierend, denn es zeigt, wie einfach es ist, WSL zu nutzen, um Malware einzuschleusen und Sicherheitsprodukte zu umgehen. Check Point hat dazu den Angriff mit den meisten der führenden Antiviren- und Sicherheitsprodukte getestet und dabei alle erfolgreich umgangen. Dies bedeutet, dass Bashware potenziell Auswirkungen auf alle 400 Millionen Computer haben kann, auf denen derzeit weltweit Windows 10-PCs ausgeführt werden.

Check Point gibt an, dass man die eigenen Lösungen zur Verhütung von Bedrohungen aktualisiert habe, um Kunden vor Bashware zu schützen. Jetzt muss die Sicherheitsindustrie aber dringend nachziehen und die betreffenden Produkte ebenfalls anpassen. Das dürfte aber in vielen Fällen nicht ganz so einfach sein. Weitere Details über den Angriff finden sich im Check Point-Beitrag.


Anzeige

Hier zeigt sich, wie komplex Windows 10 und sein Windows as a service-Ansatz geworden ist. Vorne feiert sich Microsoft mit neuen Features im sichersten Windows aller Zeiten und aktualisiert dieses Betriebssystem alle 6 Monate. Und durch die Hintertür spaziert Malware unerkannt durch das System. Wenn ich mir nun ansehe, dass ich gerade über den Equifax-Hack berichtete (siehe Equifax-Hack Schlampereien: Apatche Struts ungepatcht), habe ich nicht den Eindruck, dass wir auf einem guten Weg sind.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit, Windows 10 abgelegt und mit Sicherheit, Windows 10 verschlagwortet. Setze ein Lesezeichen auf den Permalink.

10 Antworten zu Bashware: Subsystem für Linux in Windows 10 angreifbar

  1. Herr IngoW sagt:

    Als Normalnutzer brauche ich das Linux-Zeugs ja nicht, reicht es denn aus, wenn das nicht aktiviert ist?
    Wird es unter der Version 1709, so wie jetzt, deaktiviert sein oder ist es dann Standard und geht das dann nicht mehr zu deaktivieren?

  2. Al CiD sagt:

    Nur M$ weiß, warum das Linux-Subsystem nicht komplett in einer Sandbox läuft, zumal die Existenz des selbigen ja hauptsächlich mit Webentwicklung begründet wird (soweit ich das verstanden habe).

    Generell sollte MS (wie andere auch…) für alle Schäden, auch oder ganz besonders bedingt durch ihre aggressive Updatepolitik und halbfertigen Produkte, in vollem Umfang haftbar gemacht werden können, dann würde man sich bestimmt ein wenig anders verhalten… vielleicht.

    • Herr IngoW sagt:

      Das haftbar machen ist auch schon lange bei der Sicherheitslücke „Android/Google“ fällig, bei denen ist eine Update-Politik, egal in welcher Form, ja im Prinzip nicht vorhanden da einmal veröffentlichte Geräte ja fast nie ein Update bekommen, außer die Google-Eigenen vielleicht.

    • GPBurth sagt:

      das WSL läuft deswegen nicht in einer Sandbox, weil es ein „völlig normales“ Subsystem ist. Windows NT und Nachfolger sind ja grundsätzlich Hardware-Agnostisch aufgebaut und haben grundsätzlich nur „Subsysteme“, die auf diesem HAL (hardware abstraction layer) (plus etlichen kernel-mode services, die aber auch auf der HAL aufbauen) laufen. Auch die „normale“ Win32-Oberfläche ist letztlich „nur“ ein Subsystem, so wie es in früheren Zeiten ein POSIX- und ein OS/2-Subsystem gab.

  3. Wolfgang_aus_Wien sagt:

    An Auswirkungen wie diesen, dem Update-Chaos, den nicht oder fehlerhaft behobenen Sicherheitslücken und anderen hier berichteten Vorgängen und Ankündigungen etc. kann man erkennen, daß M$ sein Windows absolut nicht mehr in Griff hat. Eine Ablöse wäre dringend erforderlich und der langsame Schwenk zu Linux daher durchaus erklärlich. Dennoch sollte M$ die Finger von Linux lassen und dieses hervorragende Betriebssystem nicht auch noch in den „Windows-Abgrund“ ziehen. Die Ausrede mit der Unterstützung von Linux-Entwicklern ist doch leicht zu durchschauen….

  4. anthropos sagt:

    Jupp, das ist wahr.
    Ich bin oft nicht einer Meinung, aber in einem Punkt schon: egal wie man Windows pflegen will, man muss es richtig tun und auf Schadensbegrenzung achten. Dass Linux verbunden wird mit Windows, ist nett, aber wenn das klingt, bevor man an die Sicherheit gedacht hat, dann ist es nur noch fahrlässig.
    Traurig, dass man nicht lernt und die Leute den Gefahren erst aussetzt; hoffentlich lassen sie das System noch lange abgeschaltet.

  5. prallband sagt:

    „…Allerdings übertreiben die Forscher den Ernst der Lage gehörig.“

    => https://www.heise.de/security/meldung/Bashware-Windows-10-ueber-Linux-Komponente-angreifbar-3833695.html

    • Ralf sagt:

      Nur trägt Heise Online mit seiner Berichterstattung dazu bei, dass solche Optionen gerne mal aus Spass am Ausprobieren aktiviert werden. Und W10 in den Developer-Modus zu schalten, ist schon ein mächtiger Eingriff, wenn man sieht, wie sehr in die Rechtevergabe eingegriffen wird. Und nach meiner Erfahrung wird selten ein Gerät wieder aus dem Developermodus herausgenommen.

      Neu sind die Erkenntnisse allerdings nicht. Warnungen vor dieser Sicherheitslücke gab es schon von Anfang an.

      • GPBurth sagt:

        Mich wundert auch, dass erst jetzt nach anderthalb Jahren die „Sicherheitsfirmen“ aufwachen und das bemerken. WSL ist ja seit April 2016 in den Insider Previews, die exakt dafür gedacht sind, dass sich Hersteller an Änderungen schon mal gewöhnen können.

        Andererseits hatte ich neulich auch die Aussage eines großen deutschen Softwareherstellers, dass sie sich in die teuren Vorabversionen noch nicht eingekauft hätten…

        Diese spezifische „Lücke“ erfordert neben WSL auch noch ein in WSL installiertes Wine auf dem Rechner. Sehr riskant, das Ganze.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.