Check Point Research alerte sur une faille de Windows 10 permettant à n’importe quel malware connu de contourner les solutions de sécurité les plus courantes, tels que les anti-virus, outils d’inspection et anti-ransomwares. Dans un billet, le laboratoire de sécurité décrit une technique, baptisée Bashware, qui passe par la fonctionnalité Subsystem for Linux (WSL) de Windows 10. Sortie de son mode bêta en juillet dernier, WSL permet aux utilisateurs de l'OS de Microsoft d'exécuter des outils Linux en ligne de commande sur Windows, pour des tâches de développement et d’administration. WSL permet aussi d'accéder au système de fichiers de Windows depuis Linux, ou encore d’invoquer des processus Windows depuis Linux. 

Les solutions de sécurité existantes ne se sont pas encore adaptées pour suivre les processus des exécutables Linux tournant sous Windows, explique Check Point Research en rappelant qu’il s’agit d’un concept hybride qui permet aux deux OS de tourner en même temps. « Cela peut ouvrir une porte aux cybercriminels cherchant à exécuter leur code malveillant sans être détectés », préviennent les chercheurs. Ils pourraient ainsi utiliser les fonctionnalités de WSL pour se soustraire à la surveillance des outils de sécurité qui n’ont pas encore intégré les mécanismes de détection pour les repérer dans ce cas.

400 millions de PC potentiellement exposés

Selon le rapport technique du laboratoire, si Bashware est si inquiétant, c’est qu’il montre combien il est aisé de tirer profit du mécanisme WSL pour contourner les protections installées. « Nous avons testé cette technique sur la plupart des principaux produits anti-virus et de sécurité du marché et nous les avons tous contournés. Cela veut dire que Bashware peut potentiellement affecter n’importe lequel des 400 millions d’ordinateurs qui tournent actuellement sous Windows 10 dans le monde », conclut Check Point. La firme dit avoir, dans la foulée, mis à jour ses solutions SandBlast Threat Prevention et enjoint les autres acteurs du secteur de la sécurité à modifier en conséquence leurs propres produits.