Rủi ro từ Kernel Linux ẩn giấu trong Windows 10

14:31 | 09/08/2016

Một nhà nghiên cứu đã phát hiện nhiều lỗ hổng về thiết kế và điều khiển trong các phiên bản Windows 10 có khả năng chạy Linux.

Một số phiên bản mới nhất của Windows 10 có khả năng chạy Linux. Tuy nhiên, Alex Ionescu, kiến trúc sư trưởng tại công ty về bảo vệ thiết bị đầu cuối - Crowdstrike (Mỹ), đã đưa ra một số lỗi nằm trong khả năng này tại Black Hat USA 2106 và được gọi là Kernel Linux ẩn giấu trong Windows 10.

Linux nhúng trong Windows lần đầu tiên được Microsoft công bố vào tháng 3/2016, mang lại một số khả năng Ubuntu Linux cho người dùng của Microsoft.


Ionescu đã báo vấn đề với Microsoft trong giai đoạn thử nghiệm và một số lỗi đã được khắc phục. Dù vậy, vấn đề lớn hơn là có thêm điểm tấn công tiềm năng mới mà các tổ chức cần phải biết để khắc phục rủi ro.

Trong một số trường hợp, môi trường Linux chạy trong Windows kém an toàn vì vấn đề tương thích, có một số cách mà các ứng dụng Windows có thể bị tiêm mã, sửa đổi bộ nhớ và thêm các nguy cơ mới vào một ứng dụng Linux chạy trên Windows.

Mã Linux sửa đổi có thể gọi Windows API và nhận được quyền truy cập vào các lệnh gọi hệ thống để thực hiện các hành vi độc hại.

Từ góc độ  rủi ro, Linux trên Windows không chạy trong một ứng dụng với nhiều máy ảo (hypervisor) Hyper-V, vốn có thể cô lập các quy trình Linux. Linux chạy trên phần cứng thô, nhận tất cả lợi ích về hiệu suất và truy cập hệ thống, cũng như mở rộng điểm tấn công tiềm năng. Hệ thống tập tin Windows cũng được ánh xạ sang Linux, để Linux có thể truy cập vào các tập tin và thư mục tương tự.

Ionescu cũng nghiên cứu cơ chế cập nhật bên trong Linux cho Windows. Có một nhiệm vụ được lập trình có thể thiết lập trong Windows để chạy lệnh Apt-Get Linux nhằm cập nhật các gói tin cho chế độ người dùng được kích hoạt bằng Ubuntu. Nghĩa là, Ionescu lưu ý Microsoft không thực sự sử dụng Kernel Linux Ubuntu, mà chỉ dùng các công cụ và các ứng dụng không gian người dùng.

Trong số các vấn đề mà Ionescu vẫn quan tâm là AppLocker, đó là dịch vụ trong danh sách trắng của Microsoft cho các ứng dụng Windows, không hoạt động với các ứng dụng Linux. Như vậy, nếu một doanh nghiệp kích hoạt Linux trên hệ thống, các ứng dụng Linux có khả năng chạy mà không có sự kiểm tra của AppLocker.

Nếu có rủi ro này, Ionescu lưu ý rằng, một thiết bị tường lửa mạng sẽ có khả năng thấy được lưu lượng. Trong khi người dùng không có khả năng áp dụng biện pháp diệt virus truyền thống, phần mềm an toàn dựa trên hành vi có khả năng nắm bắt các chỉ số phá hoại.

Dù tồn tại nguy cơ, Ionescu cho biết, để kích hoạt các tính năng Linux trong Windows, người dùng cần phải kích hoạt chế độ của nhà phát triển và cài đặt các gói tin bổ sung. Tuy nhiên, Ionescu không mong đợi các cuộc tấn công trên diện rộng vì tính năng Linux vẫn còn rất mới và không được triển khai rộng rãi.