LinuxParty

Tavis Ormandy, el más famoso de los expertos en seguridad de Google, ha portado las DLLs (Librerías de enlace dinámico) de Windows Defender a Linux con la ayuda de una nueva herramienta que lanzó en GitHub.

La nueva herramienta se llama loadlibrary, y Ormandy dice que lo creó con el único propósito de ayudar a los investigadores de seguridad, no necesariamente ni exclusivamente para la comunidad de usuarios de Linux.

Surprise, I ported Windows Defender to Linux. https://t.co/7eP48O87Vi

— Tavis Ormandy (@taviso) May 23, 2017

Loadlibrary es para los pen-testers e investigadores de seguridad

El único propósito de Loadlibrary es permitir que los investigadores ejecuten y carguen archivos DLL de Windows en Linux junto con herramientas especializadas de prueba, llamadas herramientas fuzz, o fuzzers.

Estas herramientas realizan una operación automatizada llamada fuzzing, que se basa en la alimentación de una aplicación de software con datos aleatorios y analizar la salida de anomalías.

Los expertos en seguridad de Google son grandes fans del fuzzing cuando buscan vulnerabilidades indocumentadas. En los últimos años, Google ha desarrollado dos de las herramientas fuzzing más populares, a saber, OSS-Fuzz y syzkaller .

Syzkaller es la forma en que los ingenieros de Google descubrieron tres errores principales en el kernel de Linux [1, 2, 3]]. Dos de estos errores habían sobrevivido en el código del núcleo durante 9 y 11 años, respectivamente, mostrando la capacidad de una herramienta fuzzing para descubrir errores que los humanos no pudieron detectar durante las revisiones de código manual.

Ormandy utiliza la herramienta para encontrar el defecto "crazy bad" de Windows

A principios de este mes, Ormandy también utiizó fuzzing para encontrar una vulnerabilidad en el Microsoft Malware Protection Engine, que más tarde describió como "crazy bad" y "la peor ejecución de código remoto de Windows en memoria". El proyecto loadlibrary es una de las herramientas que Ormandy utiliza para descubrir esa falla.

El fuzzing distribuido y escalable en Windows puede ser desafiante e ineficiente. Esto es especialmente cierto para los productos de seguridad de punto final, que utilizan complejos componentes interconectados que se extienden a través del kernel y el espacio del usuario. Esto a menudo requiere la creación de todo un entorno de Windows virtualizado para difuminarlos o recopilar datos de cobertura.

Esto es menos un problema en Linux, y he encontrado que el portar componentes de productos Windows Antivirus a Linux es a menudo posible. Esto me permite ejecutar el código que estoy probando en contenedores mínimos con muy poca sobrecarga, y escalar fácilmente las pruebas.

El paquete de carga por omisión de Ormandy publicado hoy en GitHub incluye una demo en la que el investigador portaba Windows Defender en Linux.

Más precisamente, Ormandy portaba el Microsoft Malware Protection Engine (MsMpEng), el servicio de seguridad instalado por defecto en los sistemas operativos Windows 8, 8.1, 10, Windows Server 2016. Del paquete MsMpEng, Ormandy portaba el componente Mpengine, responsable de escanear y analizar el malware.

Loadlibrary no es un reemplazo de Wine

A pesar de su demo, el investigador dice alto y claro que su herramienta no pretende ser una forma de ejecutar aplicaciones de Windows en Linux.

"Este proyecto no reemplaza a Wine o Winelib", dice Ormandy, "Winelib se utiliza para portar proyectos de Windows C++ a Linux y Wine tiene la intención de ejecutar aplicaciones completas de Windows.Este proyecto está destinado a permitir que el código nativo Linux cargue archivos DLL de Windows simples. "

Sin embargo, aunque los usuarios de Linux no pueden usar loadlibrary de ninguna manera, la herramienta es atractiva para los desarrolladores de aplicaciones, que pueden usarla para cargar datos DLL en aplicaciones Linux sin tener que cargar toda la aplicación de Windows a lo largo del camino.