Тавис Орманди, эксперт по безопасности из Project Zero от Google за последнее время стал автором многочисленных открытий уязвимостей в операционной системе Windows. Большинство брешей безопасности были устранены Microsoft с помощью патчей, но некоторые уязвимости стали известны широкой общественностью после публичного раскрытия информация по истечении 90-дневного срока тишины.
На этот раз Орманди разработал инструмент, цель которого заключается в улучшении техники фаззинга (fuzzing). Фаззинг - это метод, который позволяет выявлять уязвимости за счет инъекции данных непосредственно в файл DLL. Во время автоматического тестирования могут использоваться заведомо недействительные, неожиданные или случайные данные, которые передаются приложениям, а затем выполняется мониторинг потенциальных утечек памяти, сбоев и других уязвимостей безопасности.
Техника фаззинга является более эффективной в системах Linux. Орманди объясняет это тем фактом, что платформа с открытым исходным кодом имеет более совершенные инструменты и может работать с взаимосвязанными компонентами, которые усложняют аналогичные процессы в Windows.
Орманди заявляет: “Распределенный, масштабируемый фаззинг в Windows может быть сложным и неэффективным. Это особенно актуально для антивирусных продуктов, которые используют сложные взаимосвязанные компоненты, охватывающее ядро и пространство пользователя. В итоге часто приходится развертывать полноценную виртуализированную среду Windows для проведения техники фаззинга и сбора необходимых данных”.
Защитник Windows на Linux
В результате Орманди разработал инструмент, включающий в себя библиотеку, которая позволяет нативным приложениям Linux загружать и вызывать функции из DLL Windows. В демонстрационных целях Тавис портировал Защитник Windows на платформу Linux для выполнения полноценного фаззинга. Защитник Windows - это встроенный системный антивирус в Windows 10 и Windows 8.1.
На соответствующей странице сервиса Github Орманди поясняет: “Основная цель состоит в том, чтобы осуществить масштабируемый и эффективный фаззинг автономных библиотек Windows в пространстве Linux. Отличными кандидатами для тестирования могут стать видеокодеки, библиотеки декомпрессии, антивирусные сканеры, декодеры изображений и другие инструменты”.
Surprise, I ported Windows Defender to Linux. 😎https://t.co/7eP48O87Vi
— Tavis Ormandy (@taviso) 23 мая 2017 г.
Исследователь безопасности Google объясняет, что библиотека mpengine.dll, которая является основным компонентом антивирусного движка Malware Protection Engine (известная также как MsMpEng) является одной из главных целей для эксплойтов, поэтому портирование объекта в Linux для полномасштабного фаззинга помогло выявить потенциальные уязвимости.
Обновления программ, что нового
• Релиз PeaZip 10.5.0: обновление архиватора с улучшенным файловым менеджером
• В бета-версии клиента Steam добавлены иконки поддержки контроллера для SteamOS
• Dimensity 9500: результаты тестов и сравнение с Snapdragon 8 Elite 2
• В Steam добавили информацию о функциях доступности: на страницу игр и в фильтр по поиску
• AMD Radeon Software Adrenalin 25.6.2 Non-WHQL. Поддержка The Alters и FBC: Firebreak
• Новый AI-браузер Dia — «Chrome с мозгами». Но безопасен ли он?