Windows 10 Linux-Shell

Windows 10: Linux-Konsole als Einfallstor für Angriffe

Mit Windows 10 geht Microsoft einige neue Wege in Sachen Funktionen, denn erstmals können Entwickler eine Linux-Shell unter Windows verwenden. Diese hat zwar ein erhebliches Sicherheitsproblem, das real aber keine Gefahr darstellt.
AAA
Teilen (11)

Windows 10 MalwareLinux unter Windows 10 ist eine feine Sache - und Einfallstor für neuartige Malware Als Microsoft während der Build 2016 ankündigte, Windows 10 mit einem Linux-Subsystem auszustatten, waren zahlreiche Entwickler voller Vorfreude. Immerhin gilt die Bash-Shell unter Linux als eines der mächtigsten Werkzeuge der Unix-Welt, deren Funktionen schon länger unter Windows herbeigesehnt wurden. Mit dem Fall Creators Update wird diese Kommandozeile ab Werk ausgeliefert, aber schon jetzt macht eine sensations­heischende Meldung die Runde.

Das Sicherheitsunternehmen Checkpoint will herausgefunden haben (via Heise Online), dass Windows 10 über genau dieses Windows Subsystem for Linux, kurz WSL, angreifbar ist. Selbst schreiben die Forscher, dass potenziell über 400 Millionen Nutzer des Betriebs­systems angreifbar sind, ohne dass sie davon Kenntnis haben. Sie nennen die Sicherheits­lücke passenderweise Bashware.

Maßlos übertriebene Panikmache?

Es entbehrt ja nicht einer gewissen Ironie, dass Windows ausgerechnet über das Linux-Subsystem ohne jeglichen wirksamen Schutz angreifbar ist, aber in einem Punkt ist es eine vergleichs­weise harmlose Sache. Microsoft selbst hat gewissermaßen schon Vorsorge getroffen, dass nur ein geringer Prozentsatz der Nutzer tatsächlich bedroht ist.

  • Punkt 1: Obwohl die Linux-Bash ab dem Fall Creators Update fester Bestandteil von Windows 10 ist, muss diese erst manuell aktiviert werden.
  • Punkt 2: Nutzer müssen erst händisch den Entwickler-Modus von Windows 10 aktivieren, damit sich die Linux-Bash an sich aktivieren lässt.
  • Punkt 3: Microsoft warnt explizit vor der Aktivierung von diesem Modus, der ausschließlich für Entwickler vorgesehen ist.

Derzeit ist die WSL-Funktion noch kein fester Bestandteil von Windows 10, sondern muss erst aus dem Windows Store installiert werden. Es ist damit sehr unwahrscheinlich, dass der einfache Nutzer, der seinen PC für Office-Arbeiten nutzt, zum Surfen im Netz, YouTube-Videos anschaut oder Videospiele konsumiert, tatsächlich von den potenziellen Problemen betroffen ist. Zumindest eines lässt sich nicht leugnen: Gefahrlos ist die entdeckte Schwach­stelle keinesfalls - aber eben sehr speziell.

So stellt Checkpoint sich einen Angriff vor

Nach ihrer Entdeckung haben die Forscher mögliche Angriffs­szenarien theoretisch durchgespielt und diese in einem Versuchsaufbau überprüft. Dabei hat sich folgendes Szenario als praktikabel anwendbar herausgestellt.

Eine beliebige Malware muss ihren Weg auf den PC, Notebook oder Tablet mit installiertem Windows 10 finden und sich einnisten. Nun versucht die Malware Schreibrechte für die Windows-Registry zu erschleichen, um auf diesem Wege den Entwickler­modus zu aktivieren. Daraufhin wird mittels DISM-Funktion für die Windows-Kommandozeile das Windows Subsystem for Linux installiert und eingeschaltet. Zu beachten ist, dass für die Ausführung von DISM-Befehlen die Kommandozeile mit administrativen Berechtigungen gestartet werden muss. Sozusagen ein weiterer Punkt, welcher die Ausnutzung von Bashware erschwert.

Da wie gesagt potentiell bestenfalls Entwickler von der Lücke im WSL betroffen sind, wird die Masse an Windows-10-Nutzern unbehelligt weiter­arbeiten können. Zumal es fraglich ist, ob Malware-Entwickler sich einen solchen Aufwand antun, wenn es nicht auch andere - einfachere - Einfallstore für Malware gibt.

Hinzu kommt, dass Microsoft mit dem Fall Creators Update für Windows 10 neue Funktionen eingebaut hat, um Malware das Leben proaktiv schwerer zu machen. Wobei sich die neuen Maßnahmen auch erst noch beweisen müssen und kein Ersatz für eine gut funktionierende Anti-Malware-Software darstellen. Für den nun aufgedeckten Fall sind die Funktionen allerdings vollkommen nutzlos.

Das steckt hinter dem Angriff

Natürlich ist es auch mal ganz spannend zu wissen, warum denn eigentlich der Angriff so verheerend dargestellt wird. Grund dafür ist, dass das WSL laut den Sicherheits­forschern vermutlich nicht nur einen Port zur Kommunikation mit dem Windows-10-System verwendet, sondern mehrere. Da das WSL eine quasi weitest­gehend funktions­tüchtige Linux-Umgebung darstellt, einschließlich wichtiger Linux-Komponenten, kann eine Malware die Emulations­software Wine installieren und darüber wiederum Schadcode in einem speziellen Format innerhalb von Windows 10 einschleusen.

Bei diesem Datenformat handelt es sich um das sogenannte Executable and Linking Format kurz ELF, ausführbare Binär­programme aus der Unix-Welt. Bei diesen versagen sämtliche Schutz­funktionen von Windows 10, auch die mit dem Fall Creators Update kommenden, da das Betriebs­system nicht auf die Überprüfung solcher Dateien ausgelegt ist. Allerdings muss dazu die virtuelle Linux-Umgebung mittels Wine die eigenen Rechte dermaßen ausreizen, dass ein schreibender Zugriff auf die Registry möglich wird. Kurzum, es ist ein vergleichs­weise großer Aufwand mit Beachtung etlicher Faktoren nötig, um einen erfolg­reichen Angriff durchzuführen.

In jedem Fall wird man bei Microsoft jetzt mit Hochdruck daran arbeiten, dass diese theoretische Schwach­stelle mit einem der kommenden Updates weitest­gehend geschlossen wird. Ob das im Rahmen des üblichen Patchdays erfolgt oder mit dem nächsten großen Redstone4-Update ist unklar. Auch Entwickler von Anti-Malware-Programmen dürften sich nun stärker dem WSL zuwenden und versuchen, eine Erkennung bestimmter Verhaltens­muster in ihre Programme zu integrieren. Denn eines ist sicher: Auf die leichte Schulter nehmen darf man das Problem mit dem Windows Subsystem for Linux trotz der geringen Erfolgs­aussichten keinesfalls.

Lesen Sie in einem weiteren Beitrag, was Sie selbst für den Schutz Ihrer IT-Technik tun können.

Teilen (11)

Mehr zum Thema Windows 10