Engenheiro do Google demonstra e lança ferramenta de fuzzing de código aberto

Hacker do Google porta Windows Defender para Linux para demonstrar novas capacidades da ferramenta

O Windows, sendo o sistema operacional de fato do mundo, também é um foco quente para pesquisa em segurança. A Microsoft, há anos, possui um sistema onde pesquisadores podem notificar a empresa sobre novas explorações – chamadas de explorações de dia zero – para corrigir as mesmas. Essas explorações, às vezes, geram pesquisas interessantes, assim como Tavis Ormandy fez recentemente com sua ferramenta de fuzzing.

Surpresa, eu portei o Windows Defender para Linux. ? https://t.co/7eP48O87Vi — Tavis Ormandy (@taviso) 23 de maio de 2017

Teste de Fuzzing

O teste de fuzzing ou fuzzing é uma abordagem de teste de software onde dados inválidos ou inesperados são fornecidos a um programa de computador que é então monitorado para comportamentos inesperados, como falhas ou vazamentos de memória. A técnica em que Ormandy trabalhou está no domínio da varredura de vulnerabilidades, injetando dados diretamente em um arquivo DLL (um formato de arquivo do Windows). No entanto, o fuzzing é melhor utilizado no Linux, uma vez que o sistema operacional de código aberto é dotado de melhores ferramentas para lidar com componentes interconectados – a falta das quais torna o processo muito mais complicado no Windows.

“Fuzzing distribuído e escalável no Windows pode ser desafiador e ineficiente. Isso é especialmente verdadeiro para produtos de segurança de endpoint, que usam componentes interconectados complexos que se estendem pelo espaço do kernel e do usuário. Isso muitas vezes requer a criação de um ambiente virtualizado completo do Windows para fuzzing ou coleta de dados de cobertura,” explica Ormandy.

O Desenvolvimento

Portanto, Ormandy desenvolveu uma ferramenta para Linux que incluía uma biblioteca capaz de carregar e executar funções de um arquivo DLL do Windows. Ele montou uma demonstração dessa ferramenta – que também exigiu que ele portasse o Windows Defender – o antivírus padrão do Windows 8.1 em diante para o Linux. Ormandy forneceu uma explicação detalhada de sua ferramenta, juntamente com detalhes da demonstração envolvendo o Windows Defender, afirmando: “A intenção é permitir fuzzing escalável e eficiente de bibliotecas Windows autônomas no Linux. Bons candidatos podem ser codecs de vídeo, bibliotecas de descompressão, scanners de vírus, decodificadores de imagem, e assim por diante.”

mpengine.dll, que é um componente central do Malware Protection Engine, também conhecido como MsMpEng, é um dos principais alvos de explorações e, portanto, trazê-lo para o Linux para fuzzing permitiu que ele o examinasse em busca de possíveis vulnerabilidades – explica o pesquisador de segurança do Google. Você pode conferir a demonstração por si mesmo aqui.

Fonte: Softpedia