Schadsoftware : Windows 10 potentiell durch Linux-Subsystem gefährdet

, 67 Kommentare
Schadsoftware: Windows 10 potentiell durch Linux-Subsystem gefährdet
Bild: Razza Mathadsa (CC BY 2.0)

Auf der Sicherheitskonferenz Black Hat 2016 in Las Vegas hat der Experte Alex Ionescu gewarnt, das Linux-Subsystem in Windows 10 könne gefährdet sein. Er sieht die Gefahr, dass Windows-Malware über Linux in Windows 10 eingeschleust wird.

In seinem Vortrag beschreibt Ionescu, der als Chef-Entwickler beim US-amerikanischen Sicherheitsunternehmen CrowdStrike, die Ergebnisse seiner Untersuchung des Linux-Subsystems in Windows 10. Demnach könnte Windows-Malware den Umweg über durch das Linux-Subsystem installierte Linux-Anwendungen nehmen, um in Windows 10 Schaden anzurichten.

Bereits während der Beta-Phase des Linux-Subsystems hat Ionescu das Projekt beobachtet und Fehler an Microsoft gemeldet, von denen einige bereits behoben sind. Er sieht mehrere Wege, wie Schadsoftware über Linux nach Windows gelangen könne. Die Probleme liegen hierbei in der Art der Implementierung von Linux in Windows. In Linux-Anwendungen eingeschleuster Schadcode könne über Windows-APIs Systemaufrufe nutzen, um Schadroutinen auszuführen, die nur schwer zu verhindern sind.

Direkt auf der Hardware

Das Linux-Subsystem läuft nicht etwa in einer Hyper-V-Umgebung, die etwas Sicherheit bieten würde, sondern direkt auf der Hardware. Dadurch, dass das Windows-Dateisystem auch auf dem Subsystem abgebildet wird, hat Linux Zugriff auf sämtliche Dateien und Ordner. Microsoft aktualisiert lediglich seine Implementierung des Kernels, der nicht wie die Userland-Werkzeuge von Ubuntu stammt, automatisch mit der Windows-Update-Funktion. Zur Verwundbarkeit dieses Konstrukts kommt hinzu, dass AppLocker, Microsofts Mechanismus zum Whitelisting von Windows-Anwendungen, für Linux-Applikationen nicht greift.

Gefahr relativiert

Am Ende seines Vortrags relativiert Ionescu die Gefahr zum jetzigen Zeitpunkt etwas, hält es aber für wichtig, dass Unternehmen über die Gefahren informiert sind. Gemildert wird die Gefahr dadurch, dass das Linux-Subsystem standardmäßig ausgeschaltet ist. Zudem verlegen sich Angreifer eher auf weit verbreitete, etablierte und stabile Techniken, die eine bessere Ausbeute versprechen. Es sei aber damit zu rechnen, dass der neue Angriffsvektor mit zunehmender Verbreitung an Attraktivität gewinnt.