เตือนภัย Bashware บายพาสซอฟต์แวร์รักษาความมั่นคงปลอดภัยบน Windows 10

Check Point ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยยักษ์ใหญ่ของโลก ออกมาแจ้งเตือนถึง Bashware ซึ่งเป็นเทคนิคที่ช่วยให้แฮ็คเกอร์สามารถใช้ฟีเจอร์ Linux Shell บนระบบปฏิบัติการ Windows 10 เพื่อบายพาสซอฟต์แวร์รักษาความมั่นคงปลอดภัยที่ติดตั้งบนอุปกรณ์และซ่อนพรางการกระทำไม่พึงประสงค์ได้

ปี 2016 Microsoft ได้เปิดตัวฟีเจอร์ Windows Subsystem for Linux (WSL) เวอร์ชันทดสอบ ซึ่งช่วยให้ผู้ใช้สามารถรัน Linux Shell (Bash) ภายในระบบปฏิบัติการ Windows 10 ได้ ส่งผลให้นักพัฒนาที่คุ้นเคยกับการใช้ Linux อยู่แล้วสามารถทำงานที่เกี่ยวข้องกับการพัฒนาโปรแกรมได้ง่ายยิ่งขึ้น โดย Microsoft เตรียมประกาศเวอร์ชันพร้อมใช้งานใน Windows 10 Fall Creators Update ในวันที่ 17 ตุลาคมนี้

การมาถึงของ WSL ก่อให้เกิดเทคนิคการโจมตีที่เรียกว่า Bashware ซึ่งช่วยให้แฮ็คเกอร์สามารถใช้ WSL ในการบายพาสซอฟต์แวร์รักษาความมั่นคงปลอดภัยที่ติดตั้งอยู่บนเครื่อง ไม่เว้นแม้กระทั่ง Next-generation Antivirus เพื่อลอบส่งมัลแวร์เข้าไปหรือรันคำสั่งตามที่ตนต้องการได้ อย่างไรก็ตามเทคนิค Bashware ก็มีเงื่อนไขที่แฮ็คเกอร์ต้องดำเนินการหลายขั้นตอนเพื่อเริ่มโจมตี ไม่ว่าจะเป็นการใช้สิทธิ์ระดับ Admin ในการเปิดใช้งาน WSL (ถูกปิดมาจากโรงงาน) แก้ไข Registry Key จากนั้นรีบูตเครื่องและดาวน์โหลด Linux File System จากเซิร์ฟเวอร์ของ Microsoft มาติดตั้งก่อนถึงจะดำเนินการโจมตีได้

หลังจากดำเนินการทุกอย่างเสร็จสิ้น แฮ็คเกอร์สามารถใช้ Bash CLI ที่เพิ่งติดตั้งไปในการรันคำสั่งหรือดำเนินการอันไม่พึงประสงค์ได้ทันที ทั้งนี้จากการตรวจสอบพบว่าสาเหตุของปัญหามาจากการจัดการโปรเซส Pico ซึ่งเป็นโปรเซสใหม่ที่ทาง Microsoft เพิ่มเข้าไปสำหรับจัดการกับการดำเนินงานของ WSL ไม่ดีเพียงพอ

ผู้ที่สนใจสามารถอ่านรายละเอียดเชิงเทคนิคได้ที่: https://research.checkpoint.com/beware-bashware-new-method-malware-bypass-security-solutions/

ที่มา: https://www.bleepingcomputer.com/news/security/bashware-malware-can-abuse-windows-10s-linux-shell-to-bypass-security-software/