Blackhat-session: Linux-undersystem til at præsentere ny angrebsoverflade i Windows 10
2 min. Læs
Opdateret den
Del denne artikel
Forbedre denne vejledning
Læs vores oplysningsside for at finde ud af, hvordan du kan hjælpe MSPoweruser med at opretholde redaktionen Læs mere
Det nye Linux-undersystem i Windows 10 Redstone er gode nyheder for udviklere og administratorer på tværs af platforme, men det kan vise sig at have skjulte farer for resten af befolkningen, der bruger Windows 10.
Sikkerhedsfirmaet CrowdStrike vil holde et foredrag på hackerkonferencen Blackhat i august, hvor de vil diskutere de nye muligheder, subsystemet vil tilbyde dem, der forsøger at knække Windows 10.
I deres abstract skriver de:
Oprindeligt kendt som "Project Astoria" og leveret i betaversioner af Windows 10 Threshold 2 til mobil, implementerede Microsoft en komplet Linux 3.4-kerne i kernen af Windows-operativsystemet, inklusive fuld understøttelse af VFS, BSD Sockets, ptrace og en bonafide ELF-læsser. Efter en kort aflysning er den tilbage og forbedret i Windows 10 "Redstone" til desktop og server, under dække af docker/container interoperabilitet. Denne nye kerne og relaterede komponenter kan køre 100 % native, umodificerede Linux-binære filer, hvilket betyder, at NT nu kan udføre Linux-systemkald, planlægge trådgrupper, forgrene processer og få adgang til VDSO!
Da det er implementeret ved hjælp af en fuldt udbygget, indbygget, indlæst som standard, Ring 0-driver med kernerettigheder, er dette ikke blot et indpakningsbibliotek eller en brugertilstands-systemopkaldskonverter som tidligere POSIX-undersystem. Selve tanken om et alternativt virtuelt filsystemlag, netværksstak, hukommelses- og processtyringslogik og kompliceret ELF-parser og indlæser i kernen burde friste exploit-forfattere – hvorfor vælge fra angrebsoverfladen på en enkelt kerne, når der nu er to?
Men det handler ikke kun om angrebsoverfladen – hvilke effekter har dette på sikkerhedssoftware? Vises disse frankenLinux-processer i Procmon eller andre sikkerhedsdrivere? Har de PEB'er og TEB'er? Er der overhovedet en EPROCESS? Og kan en Windows-maskine og kernen nu blive angrebet af Linux/Android malware? Hvordan er Linux-systemopkald?
Som sædvanlig vil vi tage et kig på det indre af dette helt nye paradigmeskift i Windows OS og røre grænserne for det udokumenterede og ikke-understøttede for at opdage interessante designfejl og misbrugelige antagelser, som fører til et væld af nye problemer for sikkerhed Windows 10 "Redstone" maskiner.
Det er meget sandsynligt, at jo flere API'er et OS understøtter, desto sværere er det at sikre, men jeg tror, at det er meget vigtigere, når det gælder om at forblive relevant og vellykket, at være nyttig og åben end at være låst og sikker. Er vores læsere enige?
