Los responsables de Mullvad VPN anunciaron ayer en su blog que habían descubierto un problema de seguridad en Windows 10; o, más concretamente, en la versión más reciente del subsistema de Windows para Linux (WSL2), cuyas conexiones, al parecer, sortean al cortafuegos nativo de Windows 10 (y con él, cualquier regla que hayamos podido configurar en el mismo).
Su producto incluye una opción que recurre al cortafuegos para bloquear cualquier acceso a Internet a menos que esté conectado a la VPN, pero un usuario les hizo saber que, aun estando desactivado su VPN, su instalación Linux sobre WSL2 se seguía conectando sin problemas a Internet (aunque, cuando había un túnel VPN activo, el tráfico de WSL2 también se redirigía a través del mismo sin problema).
Posteriormente hicieron la misma comprobación con otros VPN de la competencia, con igual resultado. Pero, ¿a qué se debe esto, y por qué no afecta a la primera versión de WSL?
El problema es que WSL2 tiene un kernel de verdad
Muy sencillo: WSL 1 no utilizaba un verdadero kernel Línux, sino una adaptación que traducía las llamadas al sistema Linux a llamadas al kernel NT de Windows 10... pero al llegar WSL 2, éste pasó a utilizar un verdadero kernel Linux que se ejecuta sobre una máquina virtual Hyper-V, con su correspondiente adaptador de red virtual.
Y es este último elemento el que genera que las conexiones originadas desde WSL2 se mantengan al margen de las capas de seguridad de Windows.
Dado que el objetivo de WSL2 era funcionar en la medida de lo posible como un sistema operativo independiente, tiene sentido que funcione de este modo... pero también es necesario que los usuarios sean conscientes de este cambio de comportamiento y sepan cómo asegurar sus conexiones desde el subsistema.
La buena noticia es que esto permite recurrir a los propios cortafuegos de Linux, como el famoso y vetusto Iptables o el más moderna Nftables, para controlar el tráfico de la red.
Sobre la posibilidad de reproducir el comportamiento de WSL1 en lo que respecta al uso de VPNs, los responsables de Mullvad VPN afirman que aún están investigando si sería posible bloquear el tráfico no deseado en los adaptadores virtuales de Hyper-V.
Vía | Bleeping Computer
Ver 6 comentarios