Os responsáveis pela VPN Mullvad anunciaram em seu blog que descobriram um problema de segurança no Windows 10. Mais especificamente, na versão recente do Windows Subsystem para Linux (WSL2). Segundo eles, o WSL2 contorna regras de firewall do Windows 10. Assim, não importaria a regra de configuração, o Firewall do Windows poderia ter este problema.
Seu produto inclui uma opção que usa o firewall para bloquear qualquer acesso à Internet, a menos que esteja conectado à VPN, mas um usuário os informa que, mesmo com a VPN desativada, a instalação do Linux em WSL2 ainda está conectada sem problemas à Internet. (Embora, quando havia um túnel VPN ativo, o tráfego WSL2 também era redirecionado por meio dele sem problemas.)
Posteriormente, eles fizeram a mesma verificação com outras VPNs da concorrência, com o mesmo resultado. Contudo, qual o motivo disto estar ocorrendo e por que não afeta a primeira versão do WSL?
WSL2 contorna regras de firewall do Windows 10. O problema é que WSL2 tem um kernel real
Muito simples: WSL 1 não usava um kernel Linux real, mas uma adaptação que traduzia chamadas para o sistema Linux em chamadas para o kernel Windows 10 NT. No entanto, quando o WSL 2 chegou, começou a usar um kernel Linux real que roda em uma máquina virtual Hyper-V, com seu adaptador de rede virtual correspondente.
E é este último elemento que faz com que as conexões a partir do WSL2 permaneçam fora das camadas de segurança do Windows.
Como o objetivo do WSL2 era funcionar como um sistema operacional autônomo tanto quanto possível, faz sentido que funcione dessa forma. Entretanto, os usuários também precisam estar cientes dessa mudança de comportamento e saber como proteger suas conexões do subsistema.
A boa notícia é que isso permite que você use os próprios firewalls do Linux, como o famoso e antigo Iptables ou o mais moderno Nftables, para controlar o tráfego de rede.
Sobre a possibilidade de reproduzir o comportamento do WSL1 em relação ao uso de VPNs, os responsáveis pela VPN Mullvad dizem que ainda estão investigando se seria possível bloquear tráfego indesejado nos adaptadores virtuais Hyper-V .