Le sous-système Windows pour Linux 2 contourne le pare-feu Windows 10

  • Principal
  • Nouvelles
  • Le sous-système Windows pour Linux 2 contourne le pare-feu Windows 10

WSL

Le sous-système Windows pour Linux 2 contournera le pare-feu Windows 10 et toutes les règles configurées, ce qui soulève des problèmes de sécurité pour ceux qui utilisent la fonctionnalité.

Dans un article de blog publié aujourd'hui, Mullvad VPN a expliqué que son produit inclut une option 'Toujours exiger un VPN' qui bloque l'accès à Internet via le pare-feu Windows à moins qu'il ne soit connecté au VPN.

Après que Mullvad a reçu un conseil d'un utilisateur, il a été déterminé que les distributions WSL2 Linux contournaient le pare-feu Windows 10 et ses règles configurées et empêchaient le fonctionnement de la fonction de sécurité « Always Require VPN » du VPN.

WSL 2 contourne le pare-feu Windows

Topo Etat Ils ont testé ce problème avec plusieurs produits VPN et le problème existe dans chacun d'eux.

Le problème est que cela n'a rien à voir avec le logiciel VPN et c'est simplement la façon dont le sous-système Windows pour Linux 2 a été développé.

La première version du sous-système Windows pour Linux (WSL 1) utilise un noyau compatible Linux qui traduit le système Linux en appels fonctionnant avec le noyau Windows NT.

Lors de l'utilisation de WSL 1, le trafic réseau est filtré via le pare-feu avancé Windows (WAF) et la distribution Linux respecte les règles configurées.

Avec la sortie de WSL 2, Microsoft a introduit un véritable noyau Linux qui fonctionne dans une machine virtuelle Hyper-V avec une carte réseau virtuelle Hyper-V.

Contrairement à WSL 1, le trafic WSL 2 est envoyé à la bonne connexion, que ce soit votre carte LAN Ethernet ou votre VPN, mais contourne entièrement le pare-feu Windows.

Par exemple, j'ai créé une règle de pare-feu Windows qui bloque tout le trafic sortant sur les ports 80 (HTTP) et 443 (HTTPS), les ports par défaut lors de la connexion aux sites Web.

Règle du pare-feu Windows pour bloquer les connexions Web sortantes

Règle du pare-feu Windows pour bloquer les connexions Web sortantes

Lorsqu'elle est activée, cette règle bloque toutes les connexions sortantes vers les sites Web des distributions Windows 10 et WSL 1 Linux.

D'un autre côté, lorsque j'ai essayé à partir d'une distribution Ubuntu WSL 2, je n'ai eu aucun problème à me connecter à Google.com, car il contournait le filtre du pare-feu Windows.

Déploiement de WSL 2 en contournant le pare-feu Windows

Pour s'assurer qu'il ne s'agissait pas d'une configuration étrange de ma part, de nombreuses autres personnes ont aidé BleepignComputer à tester le contournement et ont confirmé que cela leur arrivait également.

Quel est le problème?

Le principal problème avec WSL 2 contournant le pare-feu Windows est que personne ne le sait.

Si vous venez de WSL 1, vous vous attendez à ce que vos connexions sortantes des distributions WSL Linux soient filtrées via le pare-feu Windows, car il s'agit d'un comportement normal.

Cependant, une fois que vous avez effectué la mise à niveau vers WSL 2, il ne respecte plus les paramètres de votre pare-feu et la sécurité qui en dépend ne fonctionne plus.

Étant donné que les distributions WSL 2 peuvent prendre en charge un large éventail d'applications Linux, y compris des implémentations côté serveur comme Docker, il est logique de le considérer comme un système d'exploitation autonome qui ne repose pas sur le pare-feu Windows.

Cependant, les utilisateurs doivent noter que les règles de pare-feu Windows configurées seront ignorées.

La bonne nouvelle est que WSL 2 prend en charge les implémentations de pare-feu Linux comme iptables qui peut surveiller le trafic réseau.

Par exemple, après avoir installé iptables, vous pouvez utiliser la commande suivante pour bloquer les connexions aux ports 80 et 443.

|__+_|

Une fois cette règle activée, essayer de se connecter à un site Web depuis la distribution WSL 2 Linux ne fonctionne plus.

iptables bloque la connexion à Google

Le sous-système Windows pour Linux version 2 (WSL 2) est beaucoup plus puissant que la première version, mais il comporte des considérations de sécurité dont les utilisateurs doivent être conscients.

Supposons que vous faites confiance au Pare-feu Windows pour contrôler les communications réseau. Si tel est le cas, vous devez porter une attention particulière à la manière dont vous configurez vos implémentations WSL 2 afin de pouvoir répliquer la sécurité Windows configurée.

BleepingComputer a contacté Microsoft avec des questions sur cette histoire, mais n'a reçu aucune réponse.

H/T YCombinator Hacker Nouvelles
Remerciements particuliers à @CVEandABV, @5eanT, @tppetkov, @sundhaug92 et @IISResetMe pour leur aide à tester les distributions WSL 2 contre le pare-feu Windows.

Qu'est-ce que tu penses?