Passer au contenu

La couche Linux intégrée à Windows 10 permet de cacher des malwares

Selon Check Point, les processus exécutés dans le sous-système Linux du système d’exploitation ne sont pas du tout analysés par les produits antivirus, ouvrant la porte à de possibles infections.

Avec la prochaine mise à jour prévue le 17 octobre, le sous-système Linux de Windows 10 – qui permet d’exécuter des programmes Linux de façon native et qui est actuellement en version beta – deviendra parfaitement fonctionnel. Ceci devrait plaire aux utilisateurs chevronnés, fans de commandes shell. Mais cela pourrait également attirer les pirates qui pourraient ainsi plus facilement infecter les postes Windows. C’est en tous les cas ce que craignent les chercheurs en sécurité Gal Elbaz et Dvir Atias, de Check Point Software.

Selon Motherboard, ces deux experts ont mis au point une méthode baptisée « Bashware » permettant de planquer des malwares archiconnus dans le sous-système Linux sans que les antivirus ne puissent les détecter. Pourquoi ? Parce que les éditeurs antivirus n’ont pas encore déployé leurs radars sur cette nouvelle technologie. Dans le Windows Subsystem for Linux, les programmes sont exécutés sous la forme de processus « pico » qui n’ont pas la même structure qu’un processus Windows. Et d’après Check Point, ces processus spéciaux ne sont actuellement analysés par aucun produit antivirus du marché, alors que Microsoft fournit une interface de programmation (Pico API) qui permettrait de le faire. Un malware exécuté dans le sous-système Linux passerait donc inaperçu.

Un coup de Wine pour fluidifier l’attaque

Et ce n’est pas tout. Le pirate n’aurait même pas besoin de réécrire son logiciel. En utilisant Wine, un émulateur Windows pour Linux, il serait possible d’exécuter aisément un logiciel codé pour Windows dans le sous-système Linux de Windows. Une mise en abîme qui permet de contourner les antivirus sans avoir à changer une ligne de code. Pratique.

Interrogé par Motherboard, Microsoft estime que cette attaque est de « faible risque » car le sous-système Linux n’est pas activé par défaut et nécessite un redémarrage de la machine. Mais selon Check Point, ce n’est pas si difficile à réaliser. D’après les chercheurs, il suffirait de changer quelques clés de registre pour activer ce sous-système. Quant au reboot, il suffirait d’attendre que l’utilisateur éteigne son PC en fin de journée. Evidemment, tout ceci suppose quand même d’avoir les droits d’administrateur. Ce n’est pas forcément difficile à obtenir (surtout si la machine n’est pas à jour) mais cela complexifie l’attaque. Il faudrait d’abord utiliser un premier malware pour devenir root, avant d’installer le second malware qui viendra se loger dans le sous-système Linux.

Quoiqu’il en soit, les chercheurs estiment qu’il est « vital et urgent que les fournisseurs de produits antivirus supportent cette nouvelle technologie » pour éviter ce genre d’attaque. Pour sa part, Symantec estime que son moteur de détection serait capable d’y faire face. On verra bien.  

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN