Linux 2 için Windows Alt Sistemi (WSL2), geliştiricilere Windows üzerinde hızlı bir Linux ortamı sağlamayı amaçlamaktadır. Artık saldırganlar bu avantajı bir saklanma yerine dönüştürüyor.
WSL2 sanal makinesinin içindeki araçları ve yükleri çalıştırarak, birçok geleneksel Windows güvenlik kontrolünün görüş alanı dışında çalışabilirler.
Sonuç, davetsiz misafirlerin modern kurumsal ağlarda verileri taşıma, sürdürme ve çalma biçimlerinde sessiz ama ciddi bir değişimdir.
Her WSL2 dağıtımı, kendi dosya sistemi ve işlemleriyle ayrı bir Hyper-V sanal makinesi olarak çalışır.
Birçok uç nokta aracısı yalnızca Windows tarafını izler, wsl.exe çağrılarını günlüğe kaydeder, ancak Linux misafirinin içinde gerçekte ne olduğunu göz ardı eder.
Saldırganlar, WSL dosya sistemine kötü amaçlı yazılım bırakarak, uzak kabukları başlatarak ve savunucuların nadiren izlediği bir alandan ağı tarayarak bu açığı kötüye kullanır.
.webp)
SpecterOps araştırmacıları, WSL2’nin kırmızı takım çalışmaları sırasında hedeflenen geliştirici iş istasyonlarında zaten yaygın olduğunu belirtti.
Testleri, bir işaret nesnesi dosyasının yüklü herhangi bir WSL2 dağıtımına nasıl erişebildiğini, rastgele komutlar çalıştırabildiğini ve bariz uyarılar vermeden ilginç dosyaları nasıl okuyabildiğini gösterdi.
Gerçek bir saldırıda, aynı teknik, davetsiz misafirlerin yoğun olarak izlenen bir Windows ana bilgisayarından çok daha sessiz bir Linux ortamına geçiş yapmasına ve aynı zamanda dahili kaynaklara erişimine izin verir.
WSL2’yi bu şekilde kullanmak birçok kuruluşun risk profilini değiştirir. Klasik Windows telemetrisi, Linux tarafında tam bir araç seti çalışırken bile, başlangıçtaki wsl.exe işleminden biraz daha fazlasını kaydedebilir.
Mavi takımlar, konuk içinde meydana gelen yanal hareketleri, kimlik bilgileri hırsızlığını ve veri hazırlamayı kaçırabilir.
Kurbanlar için bu, daha uzun bekleme süresi, daha sıkı soruşturmalar ve saldırganların kaynak kodu veya hassas iş kayıtlarıyla ayrılma şansının artması anlamına geliyor.
WSL2 İçinde Algılamadan Kaçınma
Bir defans oyuncusunun bakış açısına göre WSL2, saldırganlara çift katmanlı bir koruma sağlar. Güvenlik araçları Linux çekirdeğini veya dosya sistemini denetlemeyebilir ve çoğu, yüklerin depolanabileceği $WSL paylaşımını taramaz.
Davetsiz misafirler, misafirin içinde normal yönetici etkinliğine uyum sağlayan tanıdık Linux yardımcı programlarını çalıştırabilir.
.webp)
SpecterOps analistleri ayrıca WSL2 kötüye kullanımının mevcut uyarı kurallarının çoğunu nasıl zayıflattığını vurguladı. Savunmacılar, yeni Windows hizmetleri veya şüpheli sürücüler yerine kısa bir wsl.exe işlemi görüyor ve çok az şey görüyor.
Bu saldırı, genişletilmiş izleme ve WSL2 etkinliğine derinlemesine giriş yapma ihtiyacını vurguluyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
