image

Google-onderzoeker port Windows Defender naar Linux

woensdag 24 mei 2017, 12:36 door Redactie, 10 reacties

Google-onderzoeker Tavis Ormandy heeft Windows Defender naar Linux geport, wat moet helpen bij het onderzoeken van het beveiligingsprogramma dat een standaardonderdeel van Windows is. Onlangs ontdekte Ormandy nog een zeer ernstig beveiligingslek in de engine waar Windows Defender en andere Microsoft-beveiligingssoftware gebruik van maken. Daardoor konden Windowssystemen zonder interactie van de gebruiker worden overgenomen.

Voor het vinden van kwetsbaarheden maken onderzoekers zoals Ormandy gebruik van fuzzing. Fuzzing is een populaire manier voor het vinden van bugs en kwetsbaarheden in software. Hierbij wordt een programma of een stuk software met allerlei datastromen bestookt, wat vervolgens tot crashes of fouten kan leiden. Die crashes kunnen vervolgens op onbekende beveiligingslekken wijzen.

Het gedistribueerd en schaalbaar fuzzen op Windows is volgens Ormandy een uitdaging en kan inefficiënt zijn. "Dit geldt met name voor beveiligingsproducten voor eindgebruikers", aldus de Google-onderzoeker. Om dit soort software te onderzoeken is het vaak nodig om volledig gevirtualiseerde Windowsomgevingen te starten en die vervolgens te fuzzen en zo gegevens te verzamelen.

"Dit is een kleiner probleem op Linux en ik heb ontdekt dat het porten van onderdelen van Windows-virusscanners naar Linux vaak mogelijk is", laat Ormandy weten. Hierdoor is het mogelijk om de code zonder al teveel overhead te draaien en is het eenvoudig om op te schalen. Via GitHub heeft Ormandy de port, waaronder ook de engine die Microsoft-beveiligingsproducten gebruiken, openbaar gemaakt.

Reacties (10)
24-05-2017, 14:45 door Anoniem
'dnf install windowsdefender' :)
24-05-2017, 15:23 door Anoniem
ben je dan ook beveiligt tegen linux malware?
of enkel tegen windows malware?

~dodo
24-05-2017, 16:22 door Anoniem
@ dodo : die port is alleen om mee te testen met dat fuzzing, niet om echt virussen op Linux mee te checken
24-05-2017, 17:15 door Anoniem
@anoniem van 16.22 zonder naam: weet ik. maar ik heb het over als je scant met de engine.
zou het werken in combinatie met wine?

~dodo
24-05-2017, 17:16 door karma4 - Bijgewerkt: 24-05-2017, 17:18
Als het zo eenvoudig is om een malwarebeschermingsprogramma te porten naar Linux fan zal het porten van malware naar Linux ook eenvoudig zijn.
De enige beperking is het verdienmodel.

Zag in deze zelfde dag de kwetsbaarheid samba root rechten wat erg lijkt op smbv1 wannacry lek.
https://www.security.nl/posting/516625/Samba+dicht+lek+waardoor+client+code+als+root+kon+uitvoeren
24-05-2017, 22:05 door [Account Verwijderd] - Bijgewerkt: 24-05-2017, 22:14
[Verwijderd]
24-05-2017, 23:09 door Anoniem
sorry ik snapte het artikel niet
nadat ik de github pagina heb gelezen voel ik mij minder dom :]

~dodo
25-05-2017, 14:07 door Anoniem
Gatver...

Maar goed, aan de andere kant zegt het wel iets over de beschikbaarheid van professionele security software voor hobby-OS Linux. Jammer. De enige fuzzing tool die ik als niet-ontwikkelaar ken is dev/urandom.
25-05-2017, 23:38 door [Account Verwijderd] - Bijgewerkt: 25-05-2017, 23:39
[Verwijderd]
27-05-2017, 11:53 door karma4
Door 4amrak: hier maak je een fundamentele logica fout. dat jij bewust als admin iets eenvoudig kunt installeren is niet gelijk aan dat andere dat zo maar kunnen doen. dat eerste is nodig om een port van een code te kunnen installeren en gebruiken, dat tweede is nodig voor malware.
...
verder is het port process van code los staand van hoe malware zelf werkt.
you are barking up the wrong tree here dude!
De enige logica die je toont is een heilig verklaring van jouw OS, geen enkele wetenschappelijke onderbouwing.
Defender een Windows specfiek is geport naar Linux. Porten is een bekend iets waar de code wel heel erg identiek iets maar op runtime details verschillen toont.
Veel libraries van bijvoorbeeld C zijn gedeeld tussen alle machines. Met W10 komt er een Ubuntu Linux connectie.
De eenvormigheid en kwetsbaarheid met code die iedereen kan zien overal gebruikt wordt maar niemand echt valideert is een grote bedreiging.


Kikkers zijn groen en varens zijn groen. lijken kikkers nu op varens?
Dat is jouw wereld bewijsvoering. Als de kleur gelijk is (Linux) dan zal het wel goed zitten.
De mijne meer: het ziet er uit als een eend, kwaakt als een eend, gedraagt zich als een eend, smaakt als een eend, dan zal het wel een eend zijn.

"Volgens de omschrijving kon een kwaadaardige ingelogde client een shared library naar een gedeelde schrijfbare share uploaden. Deze library werd vervolgens met rootrechten door de server uitgevoerd,"

is wat anders dan een WORD v DWORD overflow in een SMBv1 protocol issue. dit probleem gold voor elke SMB versie protocol dat door SAMBA ondersteund werd volgens mijn leeswerk.
Met root rechten uitgevoerd betekent dat elk bestand waar dat proces in de samba enclave (als je de sel setting zou gebruiken) gencrypt had/kan worden door ransomware. Ontkenning is slecht gedrag bij tegenslag.

Waar blijf je wetenschappelijke insteek over informatieveiligheid? Een argumentatie van "als dat waar is, dan" hoort bij riool journalistiek. Je ziet de reactie van Rinjani compleet door het dak gaan als OS bashing. De enige reden dat Windows zo groot is is de faal van IBM met OS/2 en dat is maar goed ook.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.