I ricercatori di Check Point hanno scoperto una nuova e preoccupante tecnica che consente a qualsiasi malware già noto di bypassare anche le più comuni soluzioni di sicurezza, come antivirus di nuova generazione, strumenti di controllo e anti-ransomware.

La tecnica, soprannominata Bashware, sfrutta una nuova funzionalità di Windows 10 chiamata Subsystem for Linux (WSL), recentemente rilasciata in versione Beta e ora completamente integrata in Windows 10. Grazie a Windows Subsystem for Linux (WSL), gli sviluppatori possono usare tool e applicazioni per l’OS open-source nativamente, senza necessità di ricorrere alla virtualizzazione.

https://youtu.be/4ki6dbEePaw

Le soluzioni di sicurezza esistenti non sono ancora adatte per controllare come le applicazioni Linux girano direttamente dentro a Windows, visto che si tratta di un concetto ibrido che consente di eseguire contemporaneamente sia il sistema Linux sia quello Windows.

Questo potrebbe aprire una porta per i criminali informatici che desiderano eseguire il loro codice malevolo sconosciuto e consentire loro di utilizzare le funzionalità fornite da WSL per nascondersi da prodotti di sicurezza che non hanno ancora integrato i meccanismi di rilevamento corretti.

bashware

Bashware è molto preoccupante perché mostra quanto sia facile sfruttare il meccanismo WSL per consentire a qualsiasi malware di superare i prodotti di sicurezza. Il team di ricerca di Check Point ha provato questa tecnica sulla maggior parte dei principali prodotti antivirus e di sicurezza sul mercato, bypassandoli tutti. Ciò significa che Bashware consente potenzialmente di infettare ciascuno dei 400 milioni di computer basati su Windows 10.

A seguito di questa scoperta, Check Point ha aggiornato le proprie soluzioni SandBlast Threat Prevention per proteggere i propri clienti da Bashware.