Parmi les nouvelles fonctionnalités de Windows 10 parmi ces prédécesseurs, l’une des plus importantes, de par sa complexité et sa portée auprès des développeurs, est sans doute le sous-système Linux (WSL), qui permet d’exécuter directement des binaires Linux depuis Windows. Une fonctionnalité qui n’est hélas pas sans poser quelque soucis de sécurité…
C’était prévisible : une équipe de chercheur en sécurité de chez Check Point a mis au point une attaque exploitant WSL pour contourner les protections du système et des logiciels de sécurité.
Baptisé Bashware, du nom du shell Linux installé avec WSL, l’attaque semble techniquement très simple à mettre en œuvre sur une machine ou WSL est activé. Les processus exécutant le code Linux ne sont pas des processus Windows NT classique, mais des processus d’un nouveau type, baptisé Pico. Malheureusement, la plupart des outils de sécurité disponible actuellement sur le marché sont tout simplement incapables de détecter et d’analyser ces processus Pico, comme je l’avais d’ailleurs constant il y a un an avec mon anti-virus Bitdefender, incapable d’identifier proprement les processus Linux.
En conséquence, les processus Linux peuvent très aisément embarquer et/ou télécharger du code malveillant, au nez et à la barbe des anti-virus et pare-feu installés sur la machine. Un problème d’autant plus gênant que les processus Pico s’exécutent avec un niveau de droits relativement élevé, et ont accès quasiment à l’intégralité du système de fichiers de la machine ainsi qu’au réseau. Check Point a même montré qu’il est possible d’exécuter via WSL des malware écrits pour Windows, en installant dans WSL un outil permettant d’exécuter des binaires Windows sous Linux (Wine).
La gravité de cette faille est tout de même tempérée par le fait qu’elle nécessite l’installation préalable de WSL, une opération qui nécessite d’avoir les droits administrateur sur la machine, de la basculer en mode développeur et de la redémarrer. Même si Check Point estime qu’il est possible de tromper l’utilisateur de manière à lui faire effectuer ces opérations, on peut quand même s’attendre à ce que les machines vulnérables soient surtout celles dont les utilisateurs ont volontairement installé WSL, c’est-à-dire des machines dont les utilisateurs ont un niveau de maîtrise de l’informatique supérieur à la moyenne, les rendant moins vulnérables à une attaque.
Notons également que Microsoft a partiellement anticipé le problème, en incluant dans WSL des API permettant aux applications Windows, et en particulier les solutions de sécurité, d’interagir avec les processus Pico et de les vérifier. Dommage que l’éditeur n’ai pas un peu plus poussé pour que les éditeurs de solutions de sécurité mettent à jour leurs produits en utilisant ces API.