Dem Google-Sicherheitsexperten Tavis Ormandy ist es gelungen, Microsofts unter Windows vorinstallierte Sicherheitsanwendung Windows Defender auf einem Linux-System auszuführen. Allerdings ist die Linux-Version von Windows Defender nur ein Nebenprodukt seines Projekts, Windows Dynamic Link Libraries (DLLs) für Linux zu portieren. Das soll es ihm erleichtern, Sicherheitslücken in Windows-Software zu finden, wie The Register berichtet.
Sicherheitsrelevante Fehler sucht Ormandy mithilfe einer als Fuzz Testing oder Fuzzing bezeichneten Technik. Durch die Eingabe großer Mengen zufälliger Daten in ein System, mit dem Ziel, einen Absturz auszulösen, lassen sich Programmierfehler in Software, Betriebssystemen oder Netzwerken aufdecken. Tritt ein Fehler auf, kann ein Fuzz Tester oder Fuzzer genanntes Tool Hinweise auf die möglichen Ursachen liefern. Das Fuzzing wurde bereits 1989 an der University of Wisconsin-Madison entwickelt.
„Ziel ist es, skalierbares und effizientes Fuzzing von Windows-Bibliotheken unter Linux zu ermöglichen“, führt Ormandy aus. „Gute Kandidaten sind Video Codecs, Dekomprimierungsbibliotheken, Virenscanner, Bild-Decoder und so weiter.“ Der Schlüssel sei „Effizienz“ – unter Windows sei Fuzzing zu langsam. Außerdem sei er der Ansicht, Linux biete die besseren Werkzeuge.
Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.
Die Ergebnisse seiner Arbeit bietet Ormandy auch auf GitHub an. Dort findet sich unter anderem eine Bibliothek, die es Linux-Programmen erlaubt, Funktionen einer Windows-DLL zu laden und aufzurufen. Zudem werden Funktionen wie Debugging mit gdb sowie Runtime Hooking und Patching unterstützt. Weitere technische Details liefert Ormandys Projektseite auf GitHub.
Die Portierung von Windows Defender für Linux soll aber auch konkret die Fehlersuche in der Microsoft-Sicherheitsanwendung erleichtern. Sie bietet laut Ormandy eine „große und komplexe Angriffsfläche aus Handlern für Dutzende esoterischer Archivformate, Packern für ausführbare Dateien, Systememulatoren für verschiedene Architekturen und Interpretern für zahlreiche Sprachen. All dieser Code ist zugänglich für Angreifer.“
Ormandy betonte aber auch, dass sein Projekt weder Wine noch Winelib ersetzen soll. „Winelib wird für die Portierung von Windows-C++-Projekten auf Linux benutzt und Wine ist für die Ausführung vollwertiger Windows-Anwendungen gedacht. Dieses Projekt soll es nativem Linux-Code erlauben, einfache Windows-DLLs zu laden.“
Tipp: Wie gut kennen Sie sich mit Open Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
