Un ingénieur de Google démontre et publie un outil de fuzzing open source

Un hacker de Google porte Windows Defender sur Linux pour démontrer les capacités des nouveaux outils

Windows étant le système d’exploitation de facto du monde est également un terreau fertile pour la recherche en sécurité. Microsoft a depuis des années un système où les chercheurs peuvent notifier l’entreprise de nouvelles vulnérabilités – appelées exploits zero-day – pour les corriger. Ces exploits soulèvent parfois des recherches intéressantes tout comme Tavis Ormandy l’a récemment fait avec son outil de fuzzing.

Surprise, j’ai porté Windows Defender sur Linux. ? https://t.co/7eP48O87Vi — Tavis Ormandy (@taviso) 23 mai 2017

Tests de Fuzzing

Le fuzzing ou test de fuzzing est une approche de test logiciel dans laquelle des données invalides ou inattendues sont fournies à un programme informatique qui est ensuite surveillé pour un comportement inattendu tel que des plantages ou des fuites de mémoire. La technique sur laquelle Ormandy a travaillé est dans le domaine du scan de vulnérabilités en injectant des données directement dans un fichier DLL (un format de fichier Windows). Cependant, le fuzzing est mieux utilisé sur Linux puisque le système d’exploitation open-source est doté de meilleurs outils pour gérer des composants interconnectés – le manque de cela rend le processus beaucoup plus compliqué sur Windows.

“Le fuzzing distribué et évolutif sur Windows peut être difficile et inefficace. C’est particulièrement vrai pour les produits de sécurité des points de terminaison, qui utilisent des composants interconnectés complexes qui s’étendent à travers l’espace noyau et l’espace utilisateur. Cela nécessite souvent de mettre en place un environnement Windows virtualisé entier pour les fuzzing ou collecter des données de couverture,” explique Ormandy.

Le Développement

Par conséquent, Ormandy a développé un outil pour Linux qui incluait une bibliothèque capable de charger et d’exécuter des fonctions à partir d’un fichier DLL Windows. Il a mis en place une démonstration de cet outil – ce qui lui a également demandé de porter Windows Defender – l’antivirus par défaut sur Windows 8.1 et ultérieur sur Linux. Ormandy a fourni une explication détaillée de son outil ainsi que des détails de la démonstration impliquant Windows Defender en déclarant : “L’intention est de permettre un fuzzing évolutif et efficace des bibliothèques Windows autonomes sur Linux. De bons candidats pourraient être des codecs vidéo, des bibliothèques de décompression, des scanners de virus, des décodeurs d’images, etc.”

mpengine.dll, qui est un composant clé du Malware Protection Engine, également connu sous le nom de MsMpEng, est l’une des cibles principales des exploits et donc le porter sur Linux pour le fuzzing lui a permis de l’examiner pour d’éventuelles vulnérabilités – explique le chercheur en sécurité de Google. Vous pouvez consulter la démonstration par vous-même ici.

Source : Softpedia