Windows 10: Linux-Konsole als Einfallstor für Angriffe
Linux unter Windows 10 ist eine feine Sache - und Einfallstor für neuartige Malware
Bild: Fotolia - alphaspirit, Logo: Microsoft, Montage: teltarif.de
Als Microsoft während der Build 2016 ankündigte, Windows 10 mit einem Linux-Subsystem auszustatten, waren zahlreiche Entwickler voller Vorfreude. Immerhin gilt die Bash-Shell unter Linux als eines der mächtigsten Werkzeuge der Unix-Welt, deren Funktionen schon länger unter Windows herbeigesehnt wurden. Mit dem Fall Creators Update wird diese Kommandozeile ab Werk ausgeliefert, aber schon jetzt macht eine sensationsheischende Meldung die Runde.
Das Sicherheitsunternehmen Checkpoint will herausgefunden haben (via Heise Online), dass Windows 10 über genau dieses Windows Subsystem for Linux, kurz WSL, angreifbar ist. Selbst schreiben die Forscher, dass potenziell über 400 Millionen Nutzer des Betriebssystems angreifbar sind, ohne dass sie davon Kenntnis haben. Sie nennen die Sicherheitslücke passenderweise Bashware.
Maßlos übertriebene Panikmache?
Linux unter Windows 10 ist eine feine Sache - und Einfallstor für neuartige Malware
Bild: Fotolia - alphaspirit, Logo: Microsoft, Montage: teltarif.de
Es entbehrt ja nicht einer gewissen Ironie, dass Windows ausgerechnet über das Linux-Subsystem ohne jeglichen wirksamen Schutz angreifbar ist, aber in einem Punkt ist es eine vergleichsweise harmlose Sache. Microsoft selbst hat gewissermaßen schon Vorsorge getroffen, dass nur ein geringer Prozentsatz der Nutzer tatsächlich bedroht ist.
- Punkt 1: Obwohl die Linux-Bash ab dem Fall Creators Update fester Bestandteil von Windows 10 ist, muss diese erst manuell aktiviert werden.
- Punkt 2: Nutzer müssen erst händisch den Entwickler-Modus von Windows 10 aktivieren, damit sich die Linux-Bash an sich aktivieren lässt.
- Punkt 3: Microsoft warnt explizit vor der Aktivierung von diesem Modus, der ausschließlich für Entwickler vorgesehen ist.
Derzeit ist die WSL-Funktion noch kein fester Bestandteil von Windows 10, sondern muss erst aus dem Windows Store installiert werden. Es ist damit sehr unwahrscheinlich, dass der einfache Nutzer, der seinen PC für Office-Arbeiten nutzt, zum Surfen im Netz, YouTube-Videos anschaut oder Videospiele konsumiert, tatsächlich von den potenziellen Problemen betroffen ist. Zumindest eines lässt sich nicht leugnen: Gefahrlos ist die entdeckte Schwachstelle keinesfalls - aber eben sehr speziell.
So stellt Checkpoint sich einen Angriff vor
Nach ihrer Entdeckung haben die Forscher mögliche Angriffsszenarien theoretisch durchgespielt und diese in einem Versuchsaufbau überprüft. Dabei hat sich folgendes Szenario als praktikabel anwendbar herausgestellt.
Eine beliebige Malware muss ihren Weg auf den PC, Notebook oder Tablet mit installiertem Windows 10 finden und sich einnisten. Nun versucht die Malware Schreibrechte für die Windows-Registry zu erschleichen, um auf diesem Wege den Entwicklermodus zu aktivieren. Daraufhin wird mittels DISM-Funktion für die Windows-Kommandozeile das Windows Subsystem for Linux installiert und eingeschaltet. Zu beachten ist, dass für die Ausführung von DISM-Befehlen die Kommandozeile mit administrativen Berechtigungen gestartet werden muss. Sozusagen ein weiterer Punkt, welcher die Ausnutzung von Bashware erschwert.
Da wie gesagt potentiell bestenfalls Entwickler von der Lücke im WSL betroffen sind, wird die Masse an Windows-10-Nutzern unbehelligt weiterarbeiten können. Zumal es fraglich ist, ob Malware-Entwickler sich einen solchen Aufwand antun, wenn es nicht auch andere - einfachere - Einfallstore für Malware gibt.
Hinzu kommt, dass Microsoft mit dem Fall Creators Update für Windows 10 neue Funktionen eingebaut hat, um Malware das Leben proaktiv schwerer zu machen. Wobei sich die neuen Maßnahmen auch erst noch beweisen müssen und kein Ersatz für eine gut funktionierende Anti-Malware-Software darstellen. Für den nun aufgedeckten Fall sind die Funktionen allerdings vollkommen nutzlos.
Das steckt hinter dem Angriff
Natürlich ist es auch mal ganz spannend zu wissen, warum denn eigentlich der Angriff so verheerend dargestellt wird. Grund dafür ist, dass das WSL laut den Sicherheitsforschern vermutlich nicht nur einen Port zur Kommunikation mit dem Windows-10-System verwendet, sondern mehrere. Da das WSL eine quasi weitestgehend funktionstüchtige Linux-Umgebung darstellt, einschließlich wichtiger Linux-Komponenten, kann eine Malware die Emulationssoftware Wine installieren und darüber wiederum Schadcode in einem speziellen Format innerhalb von Windows 10 einschleusen.
Bei diesem Datenformat handelt es sich um das sogenannte Executable and Linking Format kurz ELF, ausführbare Binärprogramme aus der Unix-Welt. Bei diesen versagen sämtliche Schutzfunktionen von Windows 10, auch die mit dem Fall Creators Update kommenden, da das Betriebssystem nicht auf die Überprüfung solcher Dateien ausgelegt ist. Allerdings muss dazu die virtuelle Linux-Umgebung mittels Wine die eigenen Rechte dermaßen ausreizen, dass ein schreibender Zugriff auf die Registry möglich wird. Kurzum, es ist ein vergleichsweise großer Aufwand mit Beachtung etlicher Faktoren nötig, um einen erfolgreichen Angriff durchzuführen.
In jedem Fall wird man bei Microsoft jetzt mit Hochdruck daran arbeiten, dass diese theoretische Schwachstelle mit einem der kommenden Updates weitestgehend geschlossen wird. Ob das im Rahmen des üblichen Patchdays erfolgt oder mit dem nächsten großen Redstone4-Update ist unklar. Auch Entwickler von Anti-Malware-Programmen dürften sich nun stärker dem WSL zuwenden und versuchen, eine Erkennung bestimmter Verhaltensmuster in ihre Programme zu integrieren. Denn eines ist sicher: Auf die leichte Schulter nehmen darf man das Problem mit dem Windows Subsystem for Linux trotz der geringen Erfolgsaussichten keinesfalls.
Lesen Sie in einem weiteren Beitrag, was Sie selbst für den Schutz Ihrer IT-Technik tun können.