2017-9-15
Bashware aproveita uma nova característica do Windows 10 chamada Subsystem for Linux (WSL). Pode afetar potencialmente 400 milhões de computadores com Windows 10.
A Check Point descobriu uma nova técnica que permite a qualquer ciberameaça escapar aos controlos de cibersegurança mais comuns, como os antivírus de nova geração, as ferramentas de inspeção e o anti-ransomware. Bashware, o nome dado a esta técnica, aproveita uma nova característica do Windows 10: Subsystem for Linux (WSL), que recentemente saiu da fase Beta e se encontra já disponível a todos os utilizadores. O WSL introduz a popular consola do Linux, Bash, nos sistemas operativos da Microsoft e permite aos utilizadores executarem de forma nativa programas do GNU/Linux no Windows 10. As soluções de cibersegurança ainda não estão preparadas para supervisionar os processos destes executáveis, que permitem que uma combinação dos dois sistemas operativos funcione ao mesmo tempo. Isto abre uma porta aos cibercriminosos, permitindo que executem código malicioso sem serem detetados. Assim, podem utilizar as características do WSL para evitar os controlos das soluções de segurança que ainda não tenham integrado os mecanismos de deteção adequados. O Bashware é muito alarmante. Mostra como é fácil aproveitar o WSL para fazer com que qualquer malware rompa as barreiras de defesa de um equipamento. A Check Point testou esta técnica contra os principais antivírus e produtos de segurança do mercado e conseguiu fazê-lo em todas as tentativas. O Bashware pode, portanto, afetar potencialmente qualquer dos 400 milhões de computadores que atualmente executam o Windows 10 PC a nível mundial. Após esta descoberta, a Check Point atualizou o seu próprio software SandBlast Threat Prevention e apela ao setor da cibersegurança que tome medidas imediatas e que modifique as suas soluções para que os utilizadores possam estar protegidos deste novo método. Pode ver um vídeo deste ciberataque aqui. O relatório técnico completo da equipa de investigação Check Point Research pode ser consultado aqui.
|