Abo
  • Services:
Anzeige
Die beiden Security-Forscher Marion Marschalek und Joseph Moti wollen die Suche nach Schwachstellen in Windows automatisieren.
Die beiden Security-Forscher Marion Marschalek und Joseph Moti wollen die Suche nach Schwachstellen in Windows automatisieren. (Bild: Jörg Thoma/Golem.de)

Windows: Schwachstellen schneller finden mit Diffray

Mit der Python-Software Diffray lassen sich verdächtige Codestellen in DLL-Dateien in Windows 7 schnell aufspüren. Grundlage ist ein Vergleich zwischen Windows 8 und seinem Vorgänger.

Anzeige

Offenbar hat Microsoft nicht alle Schwachstellen nachträglich in Windows 7 gepatcht, die in Windows 8 bereits behoben sind. Auf der Suche nach verdächtigem Code haben die Entwickler ein automatisiertes Verfahren entwickelt, das mögliche Lücken schneller aufspürt. Mit mehreren Hilfsmitteln haben sie eine Datenbank erstellt, und mit einfachem Diff suchen sie Unterschiede zwischen Windows-Versionen.

  • Die Benutzeroberfläche von Diffray (Bild: Marion Marschalek und Joseph Moti)
  • Verdächtiger Code in einer Windows-Bibliothek (Bild: Marion Marschalek und Joseph Moti)
Die Benutzeroberfläche von Diffray (Bild: Marion Marschalek und Joseph Moti)

Bislang ungepatchte Lücken in Windows zu entdecken, kann ein durchaus lukratives Geschäft sein. Zwischen 60.000 und 120.000 US-Dollar kosten die sogenannten Zero-Day-Lücken in einschlägigen Foren. Dabei geht es darum, sie möglichst schnell zu finden. Die beiden Security-Forscher Marion Marschalek und Joseph Moti wollten für das nicht ganz neue Verfahren, Schwachstellen anhand von Vergleichen zwischen zwei Betriebssystemversionen zu ermitteln, eine möglichst schnelle und effiziente Lösung finden. Sie stellten ihr Projekt auf der Sicherheitskonferenz Troopers 2014 vor.

Suche im Assembler-Code

Die Suche nach Schwachstellen beginnt mit einem Blick in die Patches für Windows 8. Wenn es sie für Windows 7 noch nicht gibt, ist das bereits verdächtig. Die in den Patches enthaltenen DLL-Dateien untersuchten die beiden Forscher dann genauer. Zunächst wandelten sie den Binärcode mit dem Diassembler IDA Pro in Assembler-Quelltext um. In diesem suchten sie nach Funktionsaufrufen, die in den ungepatchten Versionen fehlten.

Marschalek und Moti haben eine Liste als sicher geltender Funktionen erstellt, die sie unter anderem in der Entwicklungsumgebung Visual Studio gefunden haben. Ist ein solcher Funktionsaufruf unter der einen Windows-Version zu finden, in der anderen aber nicht, könnte das ein Hinweis darauf sein, dass es eine Schwachstelle gibt.

Automatisiert mit Diffray

Mit ihrer Python-basierten Software Diffray wollen die beiden Security-Forscher die Suche nach Schwachstellen automatisieren. Nachdem die Windows-Bibliotheken disassembliert sind, wird der Code in eine Datenbank eingepflegt, in der bereits die Funktionsaufrufe stehen. Zunächst werden zwei Versionen der Bibliotheksdateien ver- und dann mit den Funktionsaufrufen abgeglichen.

Die Ergebnisse müssen die beiden Forscher aber noch selbst auf mögliche Schwachstellen untersuchen, da sich das nicht automatisieren lässt. Von 100 gefundenen verdächtigen Codeeinträgen ließe sich einer ausnutzen, vermuten die beiden Sicherheitsforscher.

Noch zu viele False Positives

Noch gibt es einige Probleme. Zum einen dauert der Vorgang noch ziemlich lange. Alle Systembibliotheken von Windows 8 einzulesen, würde mehrere Tage dauern. Deshalb untersuchen sie zunächst die Bibliotheksdateien, die in Patches enthalten sind. Außerdem bringt Marschaleks und Motis Verfahren noch zu viele False Postives hervor, durchschnittlich etwa 90 Prozent. An Diffray wird noch entsprechend gefeilt. Aktuell liegt die Beta der Software in Version 0.9 auf Github vor.

Wenn sie mit dem Vergleich der Kernel-Module in Windows 7 und Windows 8 fertig sind, wollen sich die beiden Entwickler dem Vergleich zwischen Windows 8 und Windows 8.1 widmen.


eye home zur Startseite
mari0n 07. Apr 2014

dahaha zum schießen.. ganz frisch und nur für euch: der grausame github code steht nun...

bstea 25. Mär 2014

Was sie nicht erreicht haben. Wenn das nun ein Maßstab für Meldungen ist, da kenn ich...



Anzeige

Stellenmarkt
  1. mps public solutions gmbh, Koblenz, Oberessendorf bei Biberach oder Bissendorf bei Osnabrück
  2. Deutsche Telekom AG, Bonn, Darmstadt, Berlin
  3. BERLIN-CHEMIE AG, Berlin
  4. Landesbetrieb IT.Niedersachsen, Hannover


Anzeige
Top-Angebote
  1. (u. a. Ryzen 5 1600X 219,90€, HTC Vive 799,00€, Crucial 525-GB-SSD 124,90€, Be quiet Pure...
  2. 79,90€ statt 124,90€
  3. (u. a. 2 Guns, Bad Boys 2, Captain Phillips, Chappie, Christine)

Folgen Sie uns
       


  1. Sonic the Hedgehog

    Sega veröffentlicht seine Spieleklassiker für Smartphones

  2. Monster Hunter World angespielt

    Dicke Dinosauriertränen in 4K

  3. Prime Reading

    Amazon startet dritte Lese-Flatrate in Deutschland

  4. Node.js

    Hälfte der NPM-Pakete durch schwache Passwörter verwundbar

  5. E-Mail

    Private Mails von Topmanagern Ziel von Phishing-Kampagne

  6. OLED

    LG entwickelt aufrollbares transparentes 77-Zoll-Display

  7. Vorratsdatenspeicherung

    Bundesnetzagentur prüft Auswirkung der OVG-Entscheidung

  8. Elektronikkonzern

    Toshiba kann Geschäftsbericht nicht vorlegen

  9. Störerhaftung

    SPD warnt vor Scheitern des WLAN-Gesetzes

  10. Ubisoft

    Michel Ancel zeigt Beyond Good and Evil 2



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mario Odyssey angespielt: Die feindliche Übernahme mit dem Schnauz
Mario Odyssey angespielt
Die feindliche Übernahme mit dem Schnauz
  1. Nintendo Firmware 3.00 bringt neue Funktionen auf die Switch
  2. Nintendo Switch Metroid Prime 4, echtes Pokémon und Rocket League kommen
  3. Arms im Test Gerade statt Aufwärtshaken

Panasonic Lumix GH5 im Test: Die Kamera, auf die wir gewartet haben
Panasonic Lumix GH5 im Test
Die Kamera, auf die wir gewartet haben
  1. Die Woche im Video Scharfes Video, spartanisches Windows, spaßige Switch

Stehpult ausprobiert: Aufstehen gegen Rückenschmerzen
Stehpult ausprobiert
Aufstehen gegen Rückenschmerzen
  1. Stellenmarkt Softwareentwickler haben nicht die bestbezahlten IT-Jobs
  2. Looksee Wellington Neuseeland zieht mehr IT-Experten an
  3. Jobs Deutschland kann seinen IT-Fachkräftemangel selbst lösen

  1. Re: Gegenangriff.

    chefin | 11:54

  2. Re: Finger weg von meinen Cookies

    TheUnichi | 11:43

  3. Re: Konsolenevolution ist besser als echte ps5

    highfive | 11:41

  4. Re: Jeder Anbeiter MUSS klagen..

    AllDayPiano | 11:39

  5. Re: Deutsche Befehle funktionieren...

    Joergen | 11:35


  1. 12:04

  2. 12:01

  3. 11:59

  4. 11:44

  5. 11:30

  6. 11:15

  7. 10:56

  8. 10:43


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel