Google-Ingenieur demonstriert und veröffentlicht Open-Source-Fuzzing-Tool

Hacker von Google portiert Windows Defender nach Linux, um die neuen Funktionen zu demonstrieren

Windows, das de facto Betriebssystem der Welt, ist auch ein Hotspot für Sicherheitsforschung. Microsoft hatte seit Jahren ein System, bei dem Forscher das Unternehmen über neue Exploits – sogenannte Zero-Day-Exploits – informieren konnten, um diese zu patchen. Diese Exploits werfen manchmal interessante Forschungen auf, genau wie Tavis Ormandy kürzlich mit seinem Fuzzing-Tool.

Überraschung, ich habe Windows Defender nach Linux portiert. ? https://t.co/7eP48O87Vi — Tavis Ormandy (@taviso) 23. Mai 2017

Fuzz-Testing

Fuzz-Testing oder Fuzzing ist ein Ansatz zur Softwareprüfung, bei dem ungültige oder unerwartete Daten an ein Computerprogramm übergeben werden, das dann auf unerwartetes Verhalten wie Abstürze oder Speicherlecks überwacht wird. Die Technik, an der Ormandy gearbeitet hat, liegt im Bereich der Schwachstellenscans, indem Daten direkt in eine DLL-Datei (ein Windows-Dateiformat) injiziert werden. Fuzzing wird jedoch besser auf Linux genutzt, da das Open-Source-Betriebssystem mit besseren Werkzeugen ausgestattet ist, um mit miteinander verbundenen Komponenten umzugehen – deren Fehlen macht den Prozess auf Windows viel komplizierter.

„Verteiltes, skalierbares Fuzzing unter Windows kann herausfordernd und ineffizient sein. Dies gilt insbesondere für Endpunktsicherheitsprodukte, die komplexe, miteinander verbundene Komponenten verwenden, die sich über Kernel- und Benutzerspeicher erstrecken. Dies erfordert oft das Einrichten einer gesamten virtualisierten Windows-Umgebung, um sie zu fuzzieren oder Abdeckungsdaten zu sammeln“, erklärt Ormandy.

Die Entwicklung

Daher entwickelte Ormandy ein Tool für Linux, das eine Bibliothek enthielt, die in der Lage war, Funktionen aus einer Windows-DLL-Datei zu laden und auszuführen. Er hat eine Demo dieses Tools zusammengestellt – was auch erforderte, dass er Windows Defender, das Standard-Antivirus ab Windows 8.1, nach Linux portierte. Ormandy hat eine detaillierte Erklärung seines Tools zusammen mit Einzelheiten zur Demo, die Windows Defender betrifft, bereitgestellt und erklärt: „Die Absicht ist es, skalierbares und effizientes Fuzzing von eigenständigen Windows-Bibliotheken unter Linux zu ermöglichen. Gute Kandidaten könnten Video-Codecs, Dekompressionsbibliotheken, Virenscanner, Bilddecoder und so weiter sein.“

mpengine.dll, die ein Kernbestandteil der Malware Protection Engine, auch bekannt als MsMpEng, ist, ist eines der Hauptziele von Exploits und daher ermöglichte es ihm, sie für mögliche Schwachstellen zu untersuchen, indem er sie nach Linux brachte – erklärt der Google-Sicherheitsforscher. Sie können die Demo selbst hier ansehen.

Quelle: Softpedia