Ingeniero de Google demuestra y lanza herramienta de fuzzing de código abierto

Hacker de Google porta Windows Defender a Linux para demostrar las capacidades de nuevas herramientas

Windows, siendo el sistema operativo de facto del mundo, también es un hervidero para la investigación en seguridad. Microsoft ha tenido durante años un sistema donde los investigadores podían notificar a la empresa sobre nuevas vulnerabilidades – denominadas vulnerabilidades de día cero – para parchearlas. Estas vulnerabilidades a veces generan investigaciones interesantes, como Tavis Ormandy ha hecho recientemente con su herramienta de fuzzing.

Sorpresa, porté Windows Defender a Linux. ? https://t.co/7eP48O87Vi — Tavis Ormandy (@taviso) 23 de mayo de 2017

Pruebas de Fuzzing

Las pruebas de fuzzing o fuzzing es un enfoque de prueba de software en el que se alimentan datos inválidos o inesperados a un programa de computadora que luego se monitorea para detectar comportamientos inesperados, como bloqueos o fugas de memoria. La técnica en la que Ormandy ha trabajado está en el dominio del escaneo de vulnerabilidades al inyectar datos directamente en un archivo DLL (un formato de archivo de Windows). Sin embargo, el fuzzing se utiliza mejor en Linux, ya que el sistema operativo de código abierto cuenta con mejores herramientas para lidiar con componentes interconectados, la falta de las cuales complica mucho más el proceso en Windows.

“El fuzzing distribuido y escalable en Windows puede ser un desafío e ineficiente. Esto es especialmente cierto para los productos de seguridad de punto final, que utilizan componentes interconectados complejos que abarcan el espacio del kernel y el espacio de usuario. Esto a menudo requiere iniciar un entorno virtualizado completo de Windows para fuzzing o recopilar datos de cobertura”, explica Ormandy.

El Desarrollo

Por lo tanto, Ormandy desarrolló una herramienta para Linux que incluía una biblioteca capaz de cargar y ejecutar funciones desde un archivo DLL de Windows. Ha preparado una demostración de esta herramienta, que también requirió que portara Windows Defender, el antivirus predeterminado en Windows 8.1 en adelante, a Linux. Ormandy ha proporcionado una explicación detallada de su herramienta junto con detalles de la demostración que involucra a Windows Defender, afirmando: “La intención es permitir un fuzzing escalable y eficiente de bibliotecas de Windows autónomas en Linux. Buenos candidatos podrían ser códecs de video, bibliotecas de descompresión, escáneres de virus, decodificadores de imágenes, y así sucesivamente.”

mpengine.dll, que es un componente central del Motor de Protección contra Malware, también conocido como MsMpEng, es uno de los principales objetivos de las vulnerabilidades y, por lo tanto, llevarlo a Linux para fuzzing le permitió examinarlo en busca de posibles vulnerabilidades, explica el investigador de seguridad de Google. Puedes ver la demostración por ti mismo aquí.

Fuente: Softpedia