Periset keamanan dari perusahaan keamanan Check Point Software Technologies telah menemukan masalah keamanan potensial dalam fitur WSL (Windows Subsystem for Linux) memungkinkan keluarga malware yang dirancang untuk Linux menargetkan komputer Windows. Dan malware tersebut tidak terdeteksi oleh semua perangkat lunak keamanan saat ini.
Para periset merancang teknik serangan baru, yang diberi nama serangan Bashware, yang mana memanfaatkan fitur WSL built-in Windows, yang sekarang sudah keluar dari versi beta dan dijadwalkan untuk hadir di Windows 10 Fall Creators Update pada bulan Oktober 2017.
Serangan Bashware Belum Bisa Terdeteksi Oleh Semua Anti-Virus & Solusi Keamanan
Menurut periset Checkpoint, teknik serangan Bashware dapat disalahgunakan bahkan oleh keluarga malware Linux yang diketahui, karena solusi keamanan untuk Windows tidak dirancang untuk mendeteksi ancaman tersebut.
Serangan baru ini memungkinkan penyerang menyembunyikan malware Linux bahkan dari solusi keamanan yang paling umum, termasuk perangkat lunak anti-virus generasi mendatang, alat pemeriksaan malware, solusi anti-ransomware dan alat lainnya.
Tapi kenapa begitu? Periset berpendapat bahwa paket perangkat lunak keamanan yang ada untuk sistem Windows belum dimodifikasi untuk memantau proses executable Linux yang berjalan pada sistem operasi Windows.
“Solusi keamanan yang ada masih belum disesuaikan untuk memantau proses executable Linux yang berjalan pada OS Windows, sebuah konsep hibrida yang memungkinkan kombinasi sistem Linux dan Windows berjalan pada waktu yang bersamaan,” periset Check Point mengatakan.
“Ini mungkin membuka pintu bagi penjahat cyber yang ingin menjalankan kode berbahaya mereka tanpa terdeteksi, dan memungkinkan mereka menggunakan fitur yang disediakan oleh WSL untuk menyembunyikan dari produk keamanan yang belum mengintegrasikan mekanisme deteksi yang tepat.”
Siapa Yang Salah? Microsoft atau Vendor Keamanan?
Untuk menjalankan aplikasi Linux di lingkungan yang terisolasi, Microsoft memperkenalkan “proses Pico” – kontainer yang memungkinkan menjalankan binari ELF pada sistem operasi Windows.
Selama tes mereka, para periset Check Point mampu menguji serangan Bashware terhadap “sebagian besar produk antivirus dan keamanan terkemuka di pasar,” dan berhasil melewati semuanya.
Itu karena tidak ada produk keamanan yang memonitor proses Pico, bahkan saat Microsoft sudah menyediakan Pico API, sebuah antarmuka pemrograman aplikasi khusus yang bisa digunakan oleh perusahaan keamanan untuk memantau proses tersebut.
“Bashware tidak memanfaatkan kelemahan logika atau implementasi apapun dalam rancangan WSL. Sebenarnya, WSL tampaknya dirancang dengan baik,” para peneliti menyimpulkan.
“Yang memungkinkan Bashware untuk beroperasi seperti itu adalah kurangnya kesadaran oleh berbagai vendor keamanan, karena teknologi ini relatif baru dan memperluas batas-batas yang diketahui dari sistem operasi Windows.”
Serangan Bashware Memerlukan Hak Admin – Apakah itu Sulit di PC Windows?
Ya, Bashware memerlukan akses administrator pada komputer target, namun mendapatkan hak istimewa admin pada PC Windows melalui serangan phishing dan/atau kredensial admin yang dicuri bukanlah tugas yang sulit bagi penyerang yang handal.
Namun, serangan tambahan ini juga bisa mengingatkan produk antivirus dan keamanan, menumbangkan serangan tersebut sebelum serangan Bashware sebenarnya bisa dilakukan untuk menyembunyikan malware.
Karena WSL tidak dinyalakan secara default, dan pengguna diharuskan mengaktifkan “mode pengembangan” secara manual pada sistem komputer mereka agar dapat menggunakannya dan melakukan reboot sistem, risiko yang ditimbulkan oleh fitur tersebut akan berkurang sampai batas tertentu.
Namun, periset Check Point mengatakan bahwa ini adalah fakta yang sedikit diketahui bahwa mode pengembang dapat diaktifkan dengan memodifikasi beberapa kunci registri, yang dapat dilakukan secara diam-diam di latar belakang oleh penyerang dengan hak istimewa yang tepat.
Teknik serangan Bashware mengotomatisasi prosedur yang diperlukan dengan diam-diam memuat komponen WSL, memungkinkan mode pengembang, bahkan mendownload dan mengekstrak sistem berkas Linux dari server Microsoft, dan menjalankan malware.
Tidak Perlu Menulis Program Malware Terpisah
Apa yang menarik dari Bashware? Hacker yang menggunakan teknik ini tidak diharuskan menulis program malware agar Linux dapat menjalankannya melalui WSL di komputer Windows.
Upaya ekstra ini diselamatkan oleh teknik Bashware yang menginstal program yang disebut Wine di dalam lingkungan pengguna Ubuntu yang telah diunduh, dan kemudian meluncurkan malware Windows yang dikenal di dalamnya.
Malware kemudian memulai proses Windows sebagai pico, yang akan menyembunyikannya dari perangkat lunak keamanan.
400 Juta Komputer Berpotensi terkena Serangan Bashware
Teknik serangan yang baru ditemukan ini tidak memanfaatkan implementasi kerentanan WSL, namun karena kurangnya minat dan kesadaran dari berbagai vendor keamanan terhadap WSL.
Karena shell Linux sekarang tersedia untuk pengguna Windows, para periset percaya bahwa Bashware berpotensi memengaruhi 400 juta PC yang saat ini menjalankan Windows 10 di seluruh dunia.
Periset Check Point mengatakan bahwa perusahaan mereka telah meningkatkan solusi keamanannya untuk memerangi serangan tersebut dan mendesak vendor keamanan lainnya untuk memodifikasi dan memperbarui anti-virus dan solusi keamanan generasi berikutnya.
