La nuova tecnica sfrutta WSL, una nuova funzionalità di Windows 10

Bashware

I ricercatori di Check Point hanno scoperto una nuova e preoccupante tecnica che consente a qualsiasi malware già noto di bypassare anche le più comuni soluzioni di sicurezza, come antivirus di nuova generazione, strumenti di controllo e anti-ransomware.

La tecnica, soprannominata Bashware, sfrutta una nuova funzionalità di Windows 10 chiamata Subsystem for Linux (WSL), recentemente rilasciata in versione Beta e ora completamente integrata in Windows. Grazie a Windows Subsystem for Linux (WSL), gli sviluppatori possono usare tool e applicazioni per l’OS open-source nativamente, senza necessità di ricorrere alla virtualizzazione. 

Le soluzioni di sicurezza esistenti non sono ancora adatte per controllare come le applicazioni Linux girino direttamente dentro a Windows, si tratta di un concetto ibrido che consente di eseguire contemporaneamente sia il sistema Linux sia quello Windows. Questo potrebbe aprire una porta per i criminali informatici che desiderano eseguire il loro codice malevolo sconosciuto e consentire loro di utilizzare le funzionalità fornite da WSL per nascondersi da prodotti di sicurezza che non hanno ancora integrato i meccanismi di rilevamento corretti.

Bashware è spaventoso perché mostra quanto sia facile sfruttare il meccanismo WSL per consentire a qualsiasi malware di superare i prodotti di sicurezza. Il team di ricerca di Check Point ha provato questa tecnica sulla maggior parte dei principali prodotti antivirus e di sicurezza sul mercato, bypassandoli tutti. Ciò significa che Bashware consente potenzialmente di infettare ciascuno dei 400 milioni di computer basati su Windows 10.