Dem Google-Sicherheitsexperten Tavis Ormandy ist es gelungen, Microsofts unter Windows vorinstallierte Sicherheitsanwendung Windows Defender auf einem Linux-System auszuführen. Allerdings ist die Linux-Version von Windows Defender nur ein Nebenprodukt seines Projekts, Windows Dynamic Link Libraries (DLLs) für Linux zu portieren. Das soll es ihm erleichtern, Sicherheitslücken in Windows-Software zu finden, wie The Register berichtet.
Sicherheitsrelevante Fehler sucht Ormandy mithilfe einer als Fuzz Testing oder Fuzzing bezeichneten Technik. Durch die Eingabe großer Mengen zufälliger Daten in ein System, mit dem Ziel, einen Absturz auszulösen, lassen sich Programmierfehler in Software, Betriebssystemen oder Netzwerken aufdecken. Tritt ein Fehler auf, kann ein Fuzz Tester oder Fuzzer genanntes Tool Hinweise auf die möglichen Ursachen liefern. Das Fuzzing wurde bereits 1989 an der University of Wisconsin-Madison entwickelt.
„Ziel ist es, skalierbares und effizientes Fuzzing von Windows-Bibliotheken unter Linux zu ermöglichen“, führt Ormandy aus. „Gute Kandidaten sind Video Codecs, Dekomprimierungsbibliotheken, Virenscanner, Bild-Decoder und so weiter.“ Der Schlüssel sei „Effizienz“ – unter Windows sei Fuzzing zu langsam. Außerdem sei er der Ansicht, Linux biete die besseren Werkzeuge.
Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.
Die Ergebnisse seiner Arbeit bietet Ormandy auch auf GitHub an. Dort findet sich unter anderem eine Bibliothek, die es Linux-Programmen erlaubt, Funktionen einer Windows-DLL zu laden und aufzurufen. Zudem werden Funktionen wie Debugging mit gdb sowie Runtime Hooking und Patching unterstützt. Weitere technische Details liefert Ormandys Projektseite auf GitHub.
Die Portierung von Windows Defender für Linux soll aber auch konkret die Fehlersuche in der Microsoft-Sicherheitsanwendung erleichtern. Sie bietet laut Ormandy eine „große und komplexe Angriffsfläche aus Handlern für Dutzende esoterischer Archivformate, Packern für ausführbare Dateien, Systememulatoren für verschiedene Architekturen und Interpretern für zahlreiche Sprachen. All dieser Code ist zugänglich für Angreifer.“
Ormandy betonte aber auch, dass sein Projekt weder Wine noch Winelib ersetzen soll. „Winelib wird für die Portierung von Windows-C++-Projekten auf Linux benutzt und Wine ist für die Ausführung vollwertiger Windows-Anwendungen gedacht. Dieses Projekt soll es nativem Linux-Code erlauben, einfache Windows-DLLs zu laden.“
Tipp: Wie gut kennen Sie sich mit Open Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…
Das jüngste Update bringt insgesamt zwölf Fixes. Schadcode lässt sich unter Umständen ohne Interaktion mit…
