Security Reseacher erklärt Sicherheitsprobleme im Zusammenhang mit dem Linux-Subsystem von Windows 10 bei Blackhat

Windows 10 enthält ein neues Linux-Subsystem, das fortgeschrittenen Windows-Benutzern den Zugriff auf einige der Automatisierungsfunktionen ermöglicht, die für Linux-Benutzer selbstverständlich sind.

Das Sicherheitsunternehmen CrowdStrike hat bereits festgestellt, dass dies die Angriffsfläche für Windows-Benutzer vergrößert und ihre Sicherheit verringert.

Jetzt, wo Blackhat gerade am Laufen ist, hat Alex Ionescu, Chefarchitekt bei Crowdstrike, genau erklärt, was ihre Probleme mit Linux sind, das in Windows eingebettet ist.

Er begann mit der Feststellung, dass Linux unter Windows nicht innerhalb eines Hyper-V-Hypervisors lief und vollen Zugriff auf die Rohhardware hatte und dass das Windows-Dateisystem auch Linux zugeordnet ist und daher vollen Zugriff auf dieselben Dateien und Verzeichnisse hatte .

Darüber hinaus weist die Implementierung mehrere Sicherheitslücken auf, von denen einige bereits von Microsoft behoben wurden, nachdem Crowdstrike sie darauf aufmerksam gemacht hatte.

Während Microsoft einen Prozess hatte, um die Linux-Komponenten der Software automatisch über den Befehl apt-get zu aktualisieren, war der Kernelfall Microsoft-Software und würde durch den normalen monatlichen Windows-Update-Prozess aktualisiert.

Er bemerkte auch, dass Windows-Software die Linux-Apps modifizieren könnte und umgekehrt, was neue Wege für die Ausbeutung eröffnete.

„In einigen Fällen ist die unter Windows laufende Linux-Umgebung aufgrund von Kompatibilitätsproblemen weniger sicher“, sagte Ionescu. „Es gibt eine Reihe von Möglichkeiten, wie Windows-Anwendungen Code einschleusen, Speicher ändern und einer Linux-Anwendung, die unter Windows ausgeführt wird, neue Bedrohungen hinzufügen können.“

Der modifizierte Linux-Code wiederum könnte dann Windows-APIs aufrufen und Zugriff auf Systemaufrufe erhalten, um böswillige Aktionen auszuführen, die möglicherweise nicht abgeschwächt werden.

„Sie haben also ein zweiköpfiges Biest, das ein wenig Linux kann und auch dazu verwendet werden kann, die Windows-Seite des Systems anzugreifen“, sagte Ionescu.

Das Hinzufügen des Linux-Subsystems machte es für Unternehmen auch schwieriger zu kontrollieren, welche Software auf den PCs ihrer Benutzer ausgeführt wurde.

Die Linux-Software wurde beispielsweise von AppLocker, Microsofts Whitelisting-Dienst für Windows-Anwendungen, ausgenommen.

Insgesamt war Ionescu jedoch hauptsächlich besorgt über die vergrößerte Angriffsfläche aufgrund der Kombination der beiden Ökosysteme, und stellte fest, je mehr APIs ein Betriebssystem unterstützt, desto schwieriger ist es, es zu sichern.

Er stellte jedoch fest, dass Exploits in freier Wildbahn aufgrund der begrenzten Anzahl von Benutzern, die diese erweiterte Funktion installieren werden, die standardmäßig nicht aktiviert ist, unwahrscheinlich seien.

„Angreifer verfolgen normalerweise nicht die neuesten Dinge, wenn sie nur einen kleinen Prozentsatz des Marktes betreffen würden“, sagte er. „Aber mit zunehmender Akzeptanz von Funktionen könnte dies zu einem attraktiveren Angriffsvektor werden.“