BASH per Windows può portare malware?

11 Settembre 2017 48

Una delle novità più significative introdotte da Windows 10 negli ultimi anni è il supporto alla shell BASH: grazie al Windows Subsystem for Linux (abbreviato in WSL), gli sviluppatori possono usare tool e applicazioni per l'OS open-source nativamente, senza necessità di ricorrere alla virtualizzazione. Stando a quanto scoperto dall'ultima ricerca di Check Point Software, però, il sistema potrebbe diventare un nuovo veicolo d'infezione malware - rinominato per l'occasione Bashware.

Il problema è che, per gestire le chiamate del WSL al sistema, Windows usa un canale speciale ed esclusivo: i "pico-processi", progettati apposta per questo scopo; nessuno degli antivirus testati (non vengono fatti i nomi, però) li sorveglia attivamente. Sfruttando ciò, Check Point è riuscita a ottenere il totale controllo di un sistema, in barba ai software di sicurezza presenti sul computer.

Naturalmente la ricerca è finalizzata a richiamare l'attenzione degli sviluppatori di software di sicurezza su un potenziale nuovo veicolo di infezione: alcuni degli sviluppatori di antivirus sono già intervenuti sulla questione, dichiarando che l'analizzeranno più a fondo. Il CEO di Symantec, tuttavia, ha osservato che per eseguire qualsiasi "bashware" il software dev'essere scaricato, e in quella fase le tecnologie di analisi euristica aiutate dal machine learning degli antivirus sarebbero già in grado di intervenire.

Cerchi lo schermo con la maggiore risoluzione e supporto 4K?? Sony Xperia XZ Premium, in offerta oggi da Tiger Shop a 355 euro oppure da Amazon a 406 euro.

48

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
floc

non necessariamente. Stai installando un ambiente a parte, devi controllarlo. Un conto è non esporre i processi (ed era un bug) un conto questo.

Rick Deckard®

Quindi secondo te non avrebbero dovuto trovare una soluzione a monte per evitare il possibile problema?

red5goahead

a proposito di bash per win 10 . È possibile attivare e configurare il firewall? a me sembra che iptables e quindi anche ufw non funzionino

Graziano Ansaldi

.... che penso se ne intenda più di te, sicuramente.

floc

non sai di cosa parli. Chi installa bash è ben consapevole ci ciò che fa, semplicemente il controllo sulla sicurezza di ciò che viene eseguito su bash deve essere fatto a monte.

Orlaf

Solita monnezza Windows da abolire.

Abort10 indietro di millenni rispetto Se7en.

RiccardoC

curioso, io WSL lo ho sempre usato solo per bash, ci sono talmente abituato che non sento la mancanza degli ambienti grafici (che invece uso normalmente su linux desktop). Per il resto sono d'accordo, mi sembra il classico sistema per volere vendere un prodotto per un problema che in realtà interesserà pochissimi utenti (solo quelli appunto che attivano WSL, che non siamo certo i più sprovveduti)

Federico

Ma difatti è una non notizia... un malware può infettare una macchina... e capirai che scoperta :)

Riguardo al violarlo, beh non è proprio così.
Prima cosa un po' tutti usiamo WSL in ambiente grafico e quindi browser etc etc, secondo WSL poggia in parte su Win32 che non è precisamente il massimo in termini di robustezza.
Molto probabilmente finiranno per arrivare antivirus specifici per quell'ambiente.

RiccardoC

certo, mi riferivo ovviamente a quelle a cui avrebbe diritto l'utente che lancia WSL, ci mancherebbe; ma appunto di quello che si occupi windows, come è corretto che sia!
Scalare i privilegi è un discorso più complicato, ma appunto il root di WSL non è l'admin di windows, è sempre relativo all'utente; quindi anche qua sarebbe necessario scalare i privilegi anche su windows...

RiccardoC

ok è comunque una non notizia... nel momento in cui WSL è in grado di modificare i dati sul FS windows, mi sembra ovvio che un malware là possa fare dei danni; ma appunto:
- WSL è una funzionalità avanzata e non una che installa chiunque, anzi per lo più dalla ristretta fetta di utenti che farebbe un dual boot e che avrebbe quindi già gli stessi rischi (sostanzialmente inevitabili)
- ubuntu va comunque violato, in più va violato da una shell bash; non esattamente la situazione di un utente che va sui siti russi a premere dei "clicca qua" a caso...
Poi sì, a quel punto salta anche l'antivirus, ma appunto perché gira come "elf" e non come "exe"

Federico

Ma guarda che funziona già così.
WSL ha accesso a tutti i filesystem montati nella macchina, ma poi l'utente deve possedere i privilegi necessari perchè in caso contrario si ottiene l'errore che ti ho fotografato sopra.
Come ho mostrato sotto a Manuele, io tengo linkate al mio ambiente WSL gran parte delle cartelle di utilità come le foto etc etc, ma non potrei fare lo stesso con quelle di un altro utente.
Allo stesso modo come utente ordinario non mi è consentito l'accesso alle cartelle di sistema.
Ovvio che se poi un malware riesce a scalare i privilegi il discorso cambia ed è proprio questo il senso delle affermazioni di Symantec.

RiccardoC

per esempio, per quella dir immagino vada bene senza controindicazioni; per i dati "normali" sarebbe da vedere l'impatto sull'uso (se ad un untente fa comodo accedere, che so, alle foto che ha sul fs windows perché non lasciarglielo fare?)

EnricoG

Quasi tutto ;)
A iniziare dal titolo che e' puro clcik-bait, continuando con il contenuto che ad esempio non spiega in modo chiero che WSL non e' attivo di default e che quindi gli utenti possono dormire sonni tranquilli.
La frase "per eseguire qualsiasi "bashware" il software dev'essere scaricato" non e' per niente chiara, a cosa si riferisce con il termine "il software"? A WSL o al software che conterrebbe il malware? In realta' va riferito ad entrambi.

Federico

Intendi questo?
https://uploads.disquscdn.c...

RiccardoC

Mi sembra una vulnerabilità come quella volta che su mac os era stato alterato un installer non firmato, per cui chi lo eseguiva e gli dava la password di amministrazione, allora si beccava un malware... Dai pieno controllo al sistema ad un programma di origine sconosciuta (questo famigerato malware) e poi ti lamenti se fa casino sul sistema stesso?
Boh, si potrebbe correggere restringendo l'accesso ai dischi windows a root, anche se a quel punto si potrebbe limitarne l'utilità (ma anche in quel caso ci sono dei correttivi per la cosa)

Federico

Veramente non è stata segnalata alcuna vulnerabilità ma solo affermata una cosa peraltro ovvia: un malware ELF-64 può infettare il sistema.

Federico

Bashware non l'ha scritto Francesco ma si tratta di una cretinata del CEO di Symantec

RiccardoC

già il termine bashware credo basti a squalificare l'articolo

RiccardoC

appunto, dato che esiste il supporto in scrittura per ntfs in linux...
Mi sa tanto di non notizia...

Federico

Che ha che non va questo articolo?

Simone

Ma non diciamo indiozie...

Che poi per intenderci, è roba per esperti... Non è installata random su tutti i PC

Orlaf

Basta prestargli le chiavi di casa tua (che si trova lì guarda caso)

Orlaf

E della propria interfaccia parziale ancora meno.

Orlaf

Si creerebbe un conflitto di interessi fra Windows ed il malware, che rientrerebbero nella stessa categoria.

manu1234

no è Gesù, ma torna nelle fogne

Rick Deckard®

Peccato che questo non sia Linux...

Mako

il primo punto è giusto, ma il secondo è errato, dato che puoi accedere a qualsiasi cartella e i virus sono appunto per windows, non per linux

Rick Deckard®

Ma figurati se in Microsoft non erano consapevoli di questa vulnerabilità...
La verità è che della sicurezza non importa loro nulla

netname

beh direi che è il contrario e cioè che windows porterà malware a bash hahahahaa...

Andrej Peribar

Ma la domanda è: perché qualcosa che si usa per gestire il sistema,sorprende che potrebbe distruggerlo

Sheldon!

Anche

Federico

"per eseguire qualsiasi "bashware" il software dev'essere scaricato"

A parte che non esiste il "bashware" ma si tratta di comunissimo software compilato per ELF-64 (ossia Linux), ma... perchè, per le altre cose l'eventuale malware non devi prima scaricarlo? forse si crea spontaneamente per partenogenesi?
Mah!

Sagitt

bah

Federico

Il modo più pratico è avere un ambiente grafico nel WSL con i due desktop fusi assieme.

Sheldon!

In realtà no, da Bash puoi accedere a qualsiasi file o cartella. Il modo più semplice per farlo è premere shift + tasto destro sulla cartella dove si vuole avviare la bash, avviare la Shell Windows e al suo interno digitare bash per poi premere invio

Federico

Okkio che da Win32 puoi leggere ma NON scrivere i file WSL.
Win32 non gestisce correttamente le informazioni relative ai file, quindi provando a scrivere qualcosa è facile ottenere la distruzione del filesystem di WSL.

manu1234

ah bon ce l'ho fatta, grazie

Federico

In uno screenshot puoi vedere i dischi accessibili tramite la normale cartella /mnt (quella dove i *nix montano i filesystem connessi).
Nell'altra ci cono le cartelle di utilità linkate a quelle "normali" (evidenziate dalla freccia nera) tramite link simbolici.

Non so perchè tu non riesca a farlo è assolutamente banale... basta entrare in /mnt e vedrai tutti i dischi.
https://uploads.disquscdn.c...
https://uploads.disquscdn.c...

manu1234

diciamo che il vantaggio è che è disattivata di default, è un problema che potrebbe affliggere i poweruser allo stesso modo che avere Linux nativo

ale

Non proprio separato, nel senso che dal WSL hai accesso al filesystem di Windows di fatto (sotto /mnt/c/ ecc)

Quindi si potrebbe fare danni, diciamo che per ora non puoi lanciare processi in background senza finestra attiva (quando chiudi la finestra del WSL tutto termina) per cui è difficile fare danni, se in futuro sarà possibile (cosa che sarebbe utile, per lanciare demoni tipo web server e simili in background) la cosa potrebbe diventare pericolosa.

manu1234

questo non sapevo, ma allora perché dalla bash non riesco ad accedere ai file normali (es al desktop). che path speciale devo usare? ammetto che non ci ho passato tanto tempo

Federico

2) per quanto sia lo stesso os da quel che ho visto i file sono separati, quindi al massimo ti fa casino nella wsl ma non in win

Assolutamente no, un processo WSL può accedere all'intero filesystem della macchina; io ad esempio tengo mappate in WSL le cartelle di utilità (foto, musica, download etc etc).
Ovviamente è anche possibile fare la cosa inversa, ossia leggere un qualsiasi file appartenente a WSL da un processo Win32.

_PorcoDi3Lettere_

La soluzione è vaccinarlo!

Super Farro Vintage

L'unico che può diffondere malware è un certo Kim. https://uploads.disquscdn.c...

EnricoG

Che bel click-bait, brava redazionedi HDBlog, spargi un po' di mala-informazione ;)

manu1234

ovviamente si può, ma
1) il wsl non è attivo di default, se lo attivi non sei un sprovveduto ma sai usarlo
2) per quanto sia lo stesso os da quel che ho visto i file sono separati, quindi al massimo ti fa casino nella wsl ma non in win
3) "ma Linux non ha virus" cit.

Marco 1979

E con il cavo elettrico staccato, non si sa mai! :D

Ikaro

Tutto può portare malware ;) con questa logica uno dovrebbe tenere il computer spento :D

HDblog @ Computex 2018: live blog continuo dalla fiera

Tutte le novità di Windows 10 1803 "April 2018 Update"

Guida Acquisto: i migliori Notebook, Ultrabook e 2-in-1 | #NATALE 2017

Windows 10 1709 Fall Creators Update disponibile: tutte le novità