Google Experto Puertos Windows Defender a Linux para mostrar la nueva herramienta

Tavis Ormandy, el más famoso de los expertos en seguridad de Google, ha portado DLLs de Windows Defender a Linux con la ayuda de una nueva herramienta que ha lanzado hoy en GitHub.

La nueva herramienta se llama loadlibrary, y Ormandy dice que la creó con el único propósito de ayudar a los investigadores de seguridad, no necesariamente a la comunidad de usuarios de Linux.

Loadlibrary es para probadores de plumas e investigadores de seguridad

El único propósito de Loadlibrary es permitir a los investigadores ejecutar y cargar DLLs de Windows en Linux junto con herramientas especializadas de pruebas de lápiz llamadas herramientas fuzz, o fuzzers.

Estas herramientas realizan una operación automatizada llamada fuzzing, que se basa en alimentar una aplicación de software con datos aleatorios y analizar la salida en busca de anormalidades.

Los expertos en seguridad de Google son grandes fanáticos del fuzzing cuando buscan vulnerabilidades indocumentadas. En los últimos años, Google ha desarrollado dos de las herramientas de difusores más populares, OSS-Fuzz y syzkaller.

Syzkaller es como los ingenieros de Google descubrieron tres errores importantes en el núcleo de Linux[1, 2, 3]. Dos de estos errores habían sobrevivido en el código del núcleo durante 9 y 11 años, respectivamente, mostrando la capacidad de una herramienta de difuminado para descubrir errores que los humanos no podían detectar durante las revisiones manuales de código.

Ormandy usó una herramienta para encontrar el defecto de Windows «loco y malo»

A principios de este mes, Ormandy también usó fuzzing para encontrar una vulnerabilidad en el Motor de Protección de Malware de Microsoft, que más tarde describió como «muy malo» y «el peor ejecutivo de código remoto de Windows en la memoria reciente». El proyecto de la biblioteca de carga es una de las herramientas que Ormandy utilizó para descubrir ese defecto.

Esto es menos problemático en Linux, y he descubierto que a menudo es posible portar componentes de los productos antivirus de Windows a Linux. Esto me permite ejecutar el código que estoy probando en contenedores mínimos con muy poca sobrecarga, y escalar fácilmente las pruebas.

El paquete de biblioteca de carga por defecto Ormandy lanzado hoy en GitHub incluye una demostración en la que el investigador portó Windows Defender en Linux.

Más concretamente, Ormandy portó el Microsoft Malware Protection Engine (MsMpEng), el servicio de seguridad instalado por defecto en los sistemas operativos Windows 8, 8.1, 10, Windows Server 2016. Del paquete MsMpEng, Ormandy portó el componente Mpengine, responsable de escanear y analizar el malware.

Loadlibrary no es un sustituto de Wine

A pesar de su demostración, el investigador dice alto y claro que su herramienta no está pensada como una forma de ejecutar aplicaciones Windows en Linux.

«Este proyecto no sustituye a Wine o Winelib», dice Ormandy, «Winelib está acostumbrado a portar proyectos Windows C++ a Linux, y Wine está pensado para ejecutar aplicaciones Windows completas. Este proyecto está destinado a permitir que el código nativo de Linux cargue DLLs simples de Windows».

No obstante, aunque los usuarios de escritorio de Linux no pueden usar la biblioteca de carga de ninguna manera, la herramienta es atractiva para los desarrolladores de aplicaciones, que pueden usarla para cargar datos DLL en aplicaciones de Linux sin tener que portar toda la aplicación de Windows en el camino.

Contenido relacionado

Deja un comentario