Тавис Орманди, эксперт по безопасности из Project Zero от Google за последнее время стал автором многочисленных открытий уязвимостей в операционной системе Windows. Большинство брешей безопасности были устранены Microsoft с помощью патчей, но некоторые уязвимости стали известны широкой общественностью после публичного раскрытия информация по истечении 90-дневного срока тишины.
На этот раз Орманди разработал инструмент, цель которого заключается в улучшении техники фаззинга (fuzzing). Фаззинг - это метод, который позволяет выявлять уязвимости за счет инъекции данных непосредственно в файл DLL. Во время автоматического тестирования могут использоваться заведомо недействительные, неожиданные или случайные данные, которые передаются приложениям, а затем выполняется мониторинг потенциальных утечек памяти, сбоев и других уязвимостей безопасности.
Техника фаззинга является более эффективной в системах Linux. Орманди объясняет это тем фактом, что платформа с открытым исходным кодом имеет более совершенные инструменты и может работать с взаимосвязанными компонентами, которые усложняют аналогичные процессы в Windows.
Орманди заявляет: “Распределенный, масштабируемый фаззинг в Windows может быть сложным и неэффективным. Это особенно актуально для антивирусных продуктов, которые используют сложные взаимосвязанные компоненты, охватывающее ядро и пространство пользователя. В итоге часто приходится развертывать полноценную виртуализированную среду Windows для проведения техники фаззинга и сбора необходимых данных”.
Защитник Windows на Linux
В результате Орманди разработал инструмент, включающий в себя библиотеку, которая позволяет нативным приложениям Linux загружать и вызывать функции из DLL Windows. В демонстрационных целях Тавис портировал Защитник Windows на платформу Linux для выполнения полноценного фаззинга. Защитник Windows - это встроенный системный антивирус в Windows 10 и Windows 8.1.
На соответствующей странице сервиса Github Орманди поясняет: “Основная цель состоит в том, чтобы осуществить масштабируемый и эффективный фаззинг автономных библиотек Windows в пространстве Linux. Отличными кандидатами для тестирования могут стать видеокодеки, библиотеки декомпрессии, антивирусные сканеры, декодеры изображений и другие инструменты”.
Surprise, I ported Windows Defender to Linux. 😎https://t.co/7eP48O87Vi
— Tavis Ormandy (@taviso) 23 мая 2017 г.
Исследователь безопасности Google объясняет, что библиотека mpengine.dll, которая является основным компонентом антивирусного движка Malware Protection Engine (известная также как MsMpEng) является одной из главных целей для эксплойтов, поэтому портирование объекта в Linux для полномасштабного фаззинга помогло выявить потенциальные уязвимости.
Обновления программ, что нового
• Обновление Intel ARC Game On Driver 32.0.101.6732 Non-WHQL. Поддержка The Last of Us Part II Remastered
• Qualcomm анонсировала Snapdragon 8s Gen 4 для среднего сегмента
• Intel прекращает поддержку приложения Intel Unison для связи смартфонов Android и iPhone с Windows 11
• Релиз Chrome 135: обновления безопасности и новые функции
• Android 16 может получить функцию безопасности, аналогичную iOS 18
• «Яндекс» запустил ИИ-сервис «Нейроэксперт» на базе YandexGPT 5 Pro. Что умеет конкурент Google NotebookLM и ChatGPT