Năm 2016, Microsoft đã gây bất ngờ khi công bố đưa Windows Subsystem for Linux (WSL) vào Windows 10, cho phép người dùng chạy các ứng dụng Linux gốc ngay trên Windows mà không cần ảo hoá. Tuy nhiên, lợi ích này cũng đi kèm với một số nguy cơ tiềm ẩn.

Kỹ thuật tấn công mới này được đặt tên là Bashware. Lợi dụng tính năng WSL - hiện đang ở dạng thử nghiệm beta và sẽ có mặt trong bản cập nhật Windows 10 Fall Creators trong tháng 10/2017.

Các nhà nghiên cứu của CheckPoint cho biết, Bashware là kiểu tấn công mới, cho phép tin tặc có thể che giấu mọi mã độc Linux khỏi những giải pháp an ninh phổ biến hiện nay.

Để chạy ứng dụng Linux trong môi trường cô lập, Microsoft giới thiệu các tiến trình Pico (Pico processes) - cho phép chạy các tệp ELF nhị phân trên hệ điều hành Windows. Trong quá trình thử nghiệm, các nhà nghiên cứu của Check Point có thể thực hiện thành công kiểu tấn công Bashware với hầu hết các sản phẩm an ninh và chống virus hàng đầu trên thị trường. Bởi vì chưa có giải pháp an ninh nào giám sát các tiến trình Linux chạy trên Windows, dù Microsoft đã cung cấp Pico API – một giao diện lập trình ứng dụng đặc biệt để cho phép họ giám sát chúng.

Các nhà nghiên cứu kết luận rằng, Bashware không lợi dụng bất kỳ lỗi lôgic hay lỗi triển khai nào trong thiết kế của WSL, bởi WSL đã được thiết kế rất tốt. Điều cho phép Bashware phát huy tác dụng chính là các nhà cung cấp giải pháp an ninh chưa hiểu hết về công nghệ mới, khi mà kỹ thuật mới vượt qua đường biên cũ của hệ điều hành Windows.

Tuy Bashware cần có quyền quản trị trên máy tính bị tấn công, nhưng việc lừa đảo, đánh cắp mật khẩu đăng nhập của tài khoản quản trị không phải là việc quá khó với những kẻ tấn công có chủ đích. Nhưng các cuộc tấn công để chiếm tài khoản quản trị cũng là hồi chuông báo động cho các hệ thống an ninh, trước khi tấn công bằng Bashware bắt đầu diễn ra.

Do WSL bị tắt theo mặc định và người dùng phải kích hoạt chế độ phát triển một cách thủ công và khởi động lại máy tính, nên các rủi ro cũng giảm đi. Tuy nhiên, các nhà nghiên cứu của Check Point nói rằng, chế độ phát triển có thể được bật bằng cách sửa một số khoá registry – tức là tin tặc có thể âm thầm làm điều đó ở chế độ ngầm.

Kỹ thuật Bashware có thể tự động thực hiện các bước cần thiết như tải các cấu phần WSL, bật chế độ phát triển, tải xuống và giải nén các mã độc Linux rồi chạy chúng một cách kín đáo. Điều đặc biệt là, tin tặc sử dụng Bashware không cần phải viết mã độc trên Linux để chạy chúng qua WSL. Kỹ thuật Bashware cài đặt một ứng dụng có tên là Wine trong môi trường Ubuntu được tạo lập rồi chạy các loại mã độc có sẵn cho Windows. Mã độc sẽ khởi tạo các tiến trình pico process, giúp nó ẩn mình trước các phần mềm an ninh.

Các nhà nghiên cứu tin rằng, Bashware có thể ảnh hưởng tới bất kỳ máy tính nào đang chạy Windows 10 trên toàn thế giới. Lý do chính khiến Check Point công bố kiểu tấn công mới này là do họ đã nâng cấp các giải pháp an ninh của mình để chống lại những cuộc tấn công đó.