Útok označovaný jako Bashware umožní obejít antivirovou ochranu. Podle firmy CheckPoint, která chybu objevila, může problém zasáhnout až 400 milionů počítačů, které v současnosti na Windows 10 běží. Ale není to tak jednoduché.
Linux ve Windows jako zadní vrátka
Problém je s novým linuxovým terminálem Bash (Windows Subsystem for Linux - WSL), který je součástí Windows od příchodu velké letní aktualizace s názvem Creators Update (betaverze Bashe byla dostupná již od loňského Anniversary Update). Tento systém umožní přímo spouštět (bez emulace) linuxové aplikace a to je právě kámen úrazu. Je však třeba podotknout, že jej uživatel musí nejdříve aktivovat.
Kdo jej aktivovaný má, musí zatím počítat s tím, že na něj nereagují bezpečnostní programy, které se soustředí na prostředí samotného operačního systému Windows.
„Stávající bezpečnostní řešení stále nejsou přizpůsobena sledování procesů spustitelných linuxových souborů v operačním systému Windows. Tento hybridní koncept umožňuje současně kombinovat systémy Linux a Windows. Kyberzločincům se tak otevírají nová dvířka, jak nepozorovaně spustit škodlivý kód a využít funkce WSL k maskovaní před bezpečnostními produkty, které ještě neimplementovaly odpovídající detekční mechanismy,“ varuje CheckPoint.
Konkrétně je na vině návrh struktury procesu Pico, který Bash využívá. Proces Pico totiž podle Checkpoitu nemá žádnou z běžných charakteristik procesů Windows, a tedy nic, podle čeho by mohl být identifikován jako běžný proces ve Windows. Nicméně procesy Pico mají stejné schopnosti jako běžné procesy Windows.
Firma zároveň předvedla i způsob útoku, který může tento nedostatek zneužít a spustit jak windowsovský EXE soubor, tak linuxový ELF. Video popisující útok je zde.
Podle CheckPointu již Microsoft spolupracuje s výrobci bezpečnostních programů na tom, aby byly schopné reagovat i na tuto hrozbu.