Dem Google-Sicherheitsexperten Tavis Ormandy ist es gelungen, Microsofts unter Windows vorinstallierte Sicherheitsanwendung Windows Defender auf einem Linux-System auszuführen. Allerdings ist die Linux-Version von Windows Defender nur ein Nebenprodukt seines Projekts, Windows Dynamic Link Libraries (DLLs) für Linux zu portieren. Das soll es ihm erleichtern, Sicherheitslücken in Windows-Software zu finden, wie The Register berichtet.
Sicherheitsrelevante Fehler sucht Ormandy mithilfe einer als Fuzz Testing oder Fuzzing bezeichneten Technik. Durch die Eingabe großer Mengen zufälliger Daten in ein System, mit dem Ziel, einen Absturz auszulösen, lassen sich Programmierfehler in Software, Betriebssystemen oder Netzwerken aufdecken. Tritt ein Fehler auf, kann ein Fuzz Tester oder Fuzzer genanntes Tool Hinweise auf die möglichen Ursachen liefern. Das Fuzzing wurde bereits 1989 an der University of Wisconsin-Madison entwickelt.
„Ziel ist es, skalierbares und effizientes Fuzzing von Windows-Bibliotheken unter Linux zu ermöglichen“, führt Ormandy aus. „Gute Kandidaten sind Video Codecs, Dekomprimierungsbibliotheken, Virenscanner, Bild-Decoder und so weiter.“ Der Schlüssel sei „Effizienz“ – unter Windows sei Fuzzing zu langsam. Außerdem sei er der Ansicht, Linux biete die besseren Werkzeuge.
Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.
Die Ergebnisse seiner Arbeit bietet Ormandy auch auf GitHub an. Dort findet sich unter anderem eine Bibliothek, die es Linux-Programmen erlaubt, Funktionen einer Windows-DLL zu laden und aufzurufen. Zudem werden Funktionen wie Debugging mit gdb sowie Runtime Hooking und Patching unterstützt. Weitere technische Details liefert Ormandys Projektseite auf GitHub.
Die Portierung von Windows Defender für Linux soll aber auch konkret die Fehlersuche in der Microsoft-Sicherheitsanwendung erleichtern. Sie bietet laut Ormandy eine „große und komplexe Angriffsfläche aus Handlern für Dutzende esoterischer Archivformate, Packern für ausführbare Dateien, Systememulatoren für verschiedene Architekturen und Interpretern für zahlreiche Sprachen. All dieser Code ist zugänglich für Angreifer.“
Ormandy betonte aber auch, dass sein Projekt weder Wine noch Winelib ersetzen soll. „Winelib wird für die Portierung von Windows-C++-Projekten auf Linux benutzt und Wine ist für die Ausführung vollwertiger Windows-Anwendungen gedacht. Dieses Projekt soll es nativem Linux-Code erlauben, einfache Windows-DLLs zu laden.“
Tipp: Wie gut kennen Sie sich mit Open Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
IT-Sicherheit - Erkennen und Abwehren von digitalen Angriffen
Mehr als die Hälfte aller Infostealer-Angriffe treffen Unternehmensrechner.
Das iPhone 15 Pro Max ist das meistverkaufte Smartphone im ersten Quartal. Das Galaxy S24…
Die Passwort-Alternative Passkeys überholt Einmalpasswörter bei der Zwei-Faktor-Authentifizierung. Auch Microsoft setzt sich aktiv für die…
Der Anteil steigt seit 2020 um 34 Prozentpunkte. Allein 2023 erfasst Kaspersky rund 10 Millionen…
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
