Un ingegnere di Google dimostra e rilascia uno strumento di fuzzing open source

Un hacker di Google porta Windows Defender su Linux per dimostrare le capacità dei nuovi strumenti

Windows, essendo il sistema operativo de facto del mondo, è anche un focolaio per la ricerca sulla sicurezza. Microsoft ha da anni un sistema in cui i ricercatori possono notificare all’azienda nuove vulnerabilità – definite exploit zero-day – per correggerle. Questi exploit a volte generano ricerche interessanti proprio come ha fatto recentemente Tavis Ormandy con il suo strumento di fuzzing.

Surprise, ho portato Windows Defender su Linux. ? https://t.co/7eP48O87Vi — Tavis Ormandy (@taviso) 23 maggio 2017

Fuzz Testing

Il fuzz testing o fuzzing è un approccio di testing software in cui dati non validi o inaspettati vengono forniti a un programma informatico che viene poi monitorato per comportamenti inaspettati come crash o perdite di memoria. La tecnica su cui Ormandy ha lavorato è nel dominio della scansione delle vulnerabilità iniettando dati direttamente in un file DLL (un formato di file di Windows). Tuttavia, il fuzzing è meglio utilizzato su Linux poiché il sistema operativo open-source è dotato di strumenti migliori per gestire componenti interconnessi – la cui mancanza rende il processo molto più complicato su Windows.

“Il fuzzing distribuito e scalabile su Windows può essere impegnativo e inefficiente. Questo è particolarmente vero per i prodotti di sicurezza degli endpoint, che utilizzano componenti interconnessi complessi che si estendono tra spazio kernel e spazio utente. Questo richiede spesso di avviare un intero ambiente Windows virtualizzato per fuzzarli o raccogliere dati di copertura,” spiega Ormandy.

Lo Sviluppo

Pertanto, Ormandy ha sviluppato uno strumento per Linux che includeva una libreria capace di caricare ed eseguire funzioni da un file DLL di Windows. Ha messo insieme una demo di questo strumento – che ha anche richiesto di portare Windows Defender – l’antivirus predefinito su Windows 8.1 e successivi su Linux. Ormandy ha fornito una spiegazione dettagliata del suo strumento insieme ai dettagli della demo che coinvolge Windows Defender affermando: “L’intenzione è di consentire un fuzzing scalabile ed efficiente di librerie Windows autonome su Linux. Buoni candidati potrebbero essere codec video, librerie di decompressione, scanner antivirus, decoder di immagini, e così via.”

mpengine.dll, che è un componente fondamentale del Malware Protection Engine, noto anche come MsMpEng, è uno dei principali obiettivi degli exploit e quindi portarlo su Linux per il fuzzing gli ha permesso di esaminarlo per possibili vulnerabilità – spiega il ricercatore di sicurezza di Google. Puoi controllare la demo per te stesso qui.

Fonte: Softpedia