Тавис Орманди, эксперт по безопасности из Project Zero от Google за последнее время стал автором многочисленных открытий уязвимостей в операционной системе Windows. Большинство брешей безопасности были устранены Microsoft с помощью патчей, но некоторые уязвимости стали известны широкой общественностью после публичного раскрытия информация по истечении 90-дневного срока тишины.
На этот раз Орманди разработал инструмент, цель которого заключается в улучшении техники фаззинга (fuzzing). Фаззинг - это метод, который позволяет выявлять уязвимости за счет инъекции данных непосредственно в файл DLL. Во время автоматического тестирования могут использоваться заведомо недействительные, неожиданные или случайные данные, которые передаются приложениям, а затем выполняется мониторинг потенциальных утечек памяти, сбоев и других уязвимостей безопасности.
Техника фаззинга является более эффективной в системах Linux. Орманди объясняет это тем фактом, что платформа с открытым исходным кодом имеет более совершенные инструменты и может работать с взаимосвязанными компонентами, которые усложняют аналогичные процессы в Windows.
Орманди заявляет: “Распределенный, масштабируемый фаззинг в Windows может быть сложным и неэффективным. Это особенно актуально для антивирусных продуктов, которые используют сложные взаимосвязанные компоненты, охватывающее ядро и пространство пользователя. В итоге часто приходится развертывать полноценную виртуализированную среду Windows для проведения техники фаззинга и сбора необходимых данных”.
Защитник Windows на Linux
В результате Орманди разработал инструмент, включающий в себя библиотеку, которая позволяет нативным приложениям Linux загружать и вызывать функции из DLL Windows. В демонстрационных целях Тавис портировал Защитник Windows на платформу Linux для выполнения полноценного фаззинга. Защитник Windows - это встроенный системный антивирус в Windows 10 и Windows 8.1.
На соответствующей странице сервиса Github Орманди поясняет: “Основная цель состоит в том, чтобы осуществить масштабируемый и эффективный фаззинг автономных библиотек Windows в пространстве Linux. Отличными кандидатами для тестирования могут стать видеокодеки, библиотеки декомпрессии, антивирусные сканеры, декодеры изображений и другие инструменты”.
Surprise, I ported Windows Defender to Linux. 😎https://t.co/7eP48O87Vi
— Tavis Ormandy (@taviso) 23 мая 2017 г.
Исследователь безопасности Google объясняет, что библиотека mpengine.dll, которая является основным компонентом антивирусного движка Malware Protection Engine (известная также как MsMpEng) является одной из главных целей для эксплойтов, поэтому портирование объекта в Linux для полномасштабного фаззинга помогло выявить потенциальные уязвимости.
Обновления программ, что нового
• Xiaomi Pad 8: подтверждены дизайн, аксессуары и ключевые характеристики
• Huawei анонсировала новую AI-инфраструктуру на фоне запрета Nvidia в Китае
• Алиса оживила фото более 1,5 млн раз за два дня и вышла в топ App Store
• Новый бюджетник Samsung Galaxy A17 4G: характеристики и цена
• AMD Radeon Software Adrenalin 25.9.2 Non-WHQL. Поддержка AMD Radeon RX 7700 (16 ГБ)
• One UI 8 для серии Samsung Galaxy S25: стабильное обновление стало доступно в новых странах