Des chercheurs en sécurité ont découvert pour la première fois un véritable logiciel malveillant qui abuse du sous-système Windows pour Linux (WSL) pour installer un code malveillant. Jusqu’à présent, la propagation de codes malveillants Linux sur Windows via WSL n’était que pure théorie. Aujourd’hui, cependant, un groupe de chercheurs de la société de télécommunications américaine Lumen Technologies a découvert des fichiers Python qui ont été traduits au format binaire ELF et qui, lorsqu’ils sont exécutés par WSL, téléchargent du code malveillant et l’injectent dans des processus Windows en cours d’exécution via des appels d’API Windows.

Pas de preuve de concept

Selon Lumen, le code malveillant semble être un véritable logiciel malveillant qui a été découvert dans la nature. Cependant, il est plutôt simple et a probablement été développé à des fins de test. Le logiciel malveillant tente d’abord de désactiver les programmes antivirus connus sur l’ordinateur, puis communique avec une adresse IP externe sur des ports compris entre 39000 et 48000. Les chercheurs en sécurité soupçonnent les développeurs du code malveillant d’avoir voulu tester des connexions VPN ou proxy avec celui-ci. Des ordinateurs infectés ont été découverts en France et en Équateur.

Le code malveillant a été écrit en Python 3 et compilé sous forme de binaire ELF pour les systèmes Debian à l’aide de PyInstaller. Une version fonctionne entièrement avec Python et un autre échantillon du malware charge un script PowerShell via l’API Windows, qui exécute les principales fonctions du code malveillant. Pour être exécuté sur le système cible, le code malveillant doit être téléchargé par la victime et exécuté via WSL. Les chercheurs en sécurité ne semblent pas savoir quelle méthode spécifique l’attaquant a utilisée pour exécuter le fichier ELF dans la WSL.

VirusTotal brandit le code malveillant à travers

D’une part, la menace que représente le malware WSL est jusqu’à présent très limitée, car le code malveillant proprement dit ne fait pas de choses particulièrement malveillantes jusqu’à présent, et parce que les installations WSL ne sont actives que sur un petit nombre de systèmes Windows, principalement par des développeurs et des passionnés de technologie. En revanche, il est inquiétant que le code malveillant décrit par Lumen n’ait été détecté que par l’un des plus de 70 antivirus de VirusTotal au moment de sa découverte. L’une des versions du malware n’a même pas été démasquée par l’un des scanners. Cela indique clairement que les fabricants d’antivirus n’ont pas ou peu pris en compte ce type de malware.

Le vecteur d’attaque n’est plus une théorie

La première apparition d’un logiciel malveillant WSL dans la nature est importante, principalement parce que ce type de menace était auparavant une pure théorie – ce qui explique probablement le faible taux de détection du code malveillant par les programmes antivirus. Dès 2017, la société de sécurité Checkpoint avait trouvé un moyen d’attaquer Windows via la WSL. À l’époque, cependant, Checkpoint avait largement exagéré le risque de telles attaques – le scénario d’attaque était purement théorique et l’évaluation par Checkpoint des systèmes à risque était exagérée. En fin de compte, il a fallu quatre ans pour qu’apparaisse un code malveillant utilisant ce vecteur d’attaque. Même à ce stade, il n’y a aucune raison de paniquer. Toutefois, les fabricants d’antivirus et les administrateurs de systèmes sur lesquels le WSL est activé doivent savoir dès maintenant que ces attaques ne sont définitivement plus une théorie et que nous devrons probablement nous attendre à l’avenir à des logiciels malveillants plus dangereux qui attaquent les ordinateurs Windows via les détournements du WSL.

Enfin, dans certains scénarios, il peut être tactiquement intelligent pour les attaquants d’attaquer les systèmes Windows avec des logiciels malveillants Linux. Si une organisation n’utilise que des machines Windows, son service de sécurité peut ne pas considérer les logiciels malveillants Linux comme une menace. Et même si un seul administrateur a installé WSL sur son ordinateur pour des raisons de loisir, cela peut suffire à compromettre toute l’organisation si cet administrateur dispose de droits étendus sur le réseau. Ce n’est pas sans raison que les ordinateurs d’administration sont généralement la première priorité des attaquants lors d’un mouvement latéral dans le réseau cible – ils sont généralement une mine d’or pour les mots de passe, les certificats et les clés cryptographiques.

(fab)