Abo
  • Services:

Windows: Schwachstellen schneller finden mit Diffray

Mit der Python-Software Diffray lassen sich verdächtige Codestellen in DLL-Dateien in Windows 7 schnell aufspüren. Grundlage ist ein Vergleich zwischen Windows 8 und seinem Vorgänger.

Artikel veröffentlicht am ,
Die beiden Security-Forscher Marion Marschalek und Joseph Moti wollen die Suche nach Schwachstellen in Windows automatisieren.
Die beiden Security-Forscher Marion Marschalek und Joseph Moti wollen die Suche nach Schwachstellen in Windows automatisieren. (Bild: Jörg Thoma/Golem.de)

Offenbar hat Microsoft nicht alle Schwachstellen nachträglich in Windows 7 gepatcht, die in Windows 8 bereits behoben sind. Auf der Suche nach verdächtigem Code haben die Entwickler ein automatisiertes Verfahren entwickelt, das mögliche Lücken schneller aufspürt. Mit mehreren Hilfsmitteln haben sie eine Datenbank erstellt, und mit einfachem Diff suchen sie Unterschiede zwischen Windows-Versionen.

  • Die Benutzeroberfläche von Diffray (Bild: Marion Marschalek und Joseph Moti)
  • Verdächtiger Code in einer Windows-Bibliothek (Bild: Marion Marschalek und Joseph Moti)
Die Benutzeroberfläche von Diffray (Bild: Marion Marschalek und Joseph Moti)
Stellenmarkt
  1. Bosch Gruppe, Berlin
  2. OKI EUROPE LIMITED, Branch Office Düsseldorf, Düsseldorf

Bislang ungepatchte Lücken in Windows zu entdecken, kann ein durchaus lukratives Geschäft sein. Zwischen 60.000 und 120.000 US-Dollar kosten die sogenannten Zero-Day-Lücken in einschlägigen Foren. Dabei geht es darum, sie möglichst schnell zu finden. Die beiden Security-Forscher Marion Marschalek und Joseph Moti wollten für das nicht ganz neue Verfahren, Schwachstellen anhand von Vergleichen zwischen zwei Betriebssystemversionen zu ermitteln, eine möglichst schnelle und effiziente Lösung finden. Sie stellten ihr Projekt auf der Sicherheitskonferenz Troopers 2014 vor.

Suche im Assembler-Code

Die Suche nach Schwachstellen beginnt mit einem Blick in die Patches für Windows 8. Wenn es sie für Windows 7 noch nicht gibt, ist das bereits verdächtig. Die in den Patches enthaltenen DLL-Dateien untersuchten die beiden Forscher dann genauer. Zunächst wandelten sie den Binärcode mit dem Diassembler IDA Pro in Assembler-Quelltext um. In diesem suchten sie nach Funktionsaufrufen, die in den ungepatchten Versionen fehlten.

Marschalek und Moti haben eine Liste als sicher geltender Funktionen erstellt, die sie unter anderem in der Entwicklungsumgebung Visual Studio gefunden haben. Ist ein solcher Funktionsaufruf unter der einen Windows-Version zu finden, in der anderen aber nicht, könnte das ein Hinweis darauf sein, dass es eine Schwachstelle gibt.

Automatisiert mit Diffray

Mit ihrer Python-basierten Software Diffray wollen die beiden Security-Forscher die Suche nach Schwachstellen automatisieren. Nachdem die Windows-Bibliotheken disassembliert sind, wird der Code in eine Datenbank eingepflegt, in der bereits die Funktionsaufrufe stehen. Zunächst werden zwei Versionen der Bibliotheksdateien ver- und dann mit den Funktionsaufrufen abgeglichen.

Die Ergebnisse müssen die beiden Forscher aber noch selbst auf mögliche Schwachstellen untersuchen, da sich das nicht automatisieren lässt. Von 100 gefundenen verdächtigen Codeeinträgen ließe sich einer ausnutzen, vermuten die beiden Sicherheitsforscher.

Noch zu viele False Positives

Noch gibt es einige Probleme. Zum einen dauert der Vorgang noch ziemlich lange. Alle Systembibliotheken von Windows 8 einzulesen, würde mehrere Tage dauern. Deshalb untersuchen sie zunächst die Bibliotheksdateien, die in Patches enthalten sind. Außerdem bringt Marschaleks und Motis Verfahren noch zu viele False Postives hervor, durchschnittlich etwa 90 Prozent. An Diffray wird noch entsprechend gefeilt. Aktuell liegt die Beta der Software in Version 0.9 auf Github vor.

Wenn sie mit dem Vergleich der Kernel-Module in Windows 7 und Windows 8 fertig sind, wollen sich die beiden Entwickler dem Vergleich zwischen Windows 8 und Windows 8.1 widmen.



Anzeige
Blu-ray-Angebote
  1. (u. a. Logan, John Wick, Alien Covenant, Planet der Affen Survival)
  2. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)

mari0n 07. Apr 2014

dahaha zum schießen.. ganz frisch und nur für euch: der grausame github code steht nun...

bstea 25. Mär 2014

Was sie nicht erreicht haben. Wenn das nun ein Maßstab für Meldungen ist, da kenn ich...


Folgen Sie uns
       


Geforce RTX 2070 - Test

Wir haben uns zwei Geforce RTX 2070, eine von Asus und eine von MSI, angeschaut. Beide basieren auf einem TU106-Chip mit 2.304 Shader-Einheiten und einem 256-Bit-Interface mit GByte GDDR6-Speicher. Das Asus-Modell hat mehr Takt und ein höhere Power-Target sowie eine leicht bessere Ausstattung, die MSI-Karte ist mit 520 Euro statt 700 Euro aber günstiger. Beide Geforce RTX 2070 schlagen die Geforce GTX 1080 und Radeon RX Vega 64.

Geforce RTX 2070 - Test Video aufrufen
Yuneec H520: 3D-Modell aus der Drohne
Yuneec H520
3D-Modell aus der Drohne

Multikopter werden zunehmend auch kommerziell verwendet. Vor allem machen die Drohnen Luftbilder und Inspektionsflüge und vermessen. Wir haben in der Praxis getestet, wie gut das mit dem Yuneec H520 funktioniert.
Von Dirk Koller


    Need for Speed 3 Hot Pursuit (1998): El Nino, Polizeifunk und Lichtgewitter in Rot-Blau
    Need for Speed 3 Hot Pursuit (1998)
    El Nino, Polizeifunk und Lichtgewitter in Rot-Blau

    Golem retro_ Electronic Arts ist berühmt und berüchtigt für jährliche Updates und Neuveröffentlichungen. Was der Publisher aber 1998 für digitale Raser auffuhr, ist in puncto Dramatik bei Verfolgungsjagden bis heute unerreicht.
    Von Michael Wieczorek

    1. Playstation Classic im Test Sony schlampt, aber Rettung naht

    Machine Learning: Wie Technik jede Stimme stehlen kann
    Machine Learning
    Wie Technik jede Stimme stehlen kann

    Ein Unternehmen aus Südkorea arbeitet daran, Stimmen reproduzierbar und neu generierbar zu machen. Was für viele Branchen enorme Kosteneinsparungen bedeutet, könnte auch eine neue Dimension von Fake News werden.
    Ein Bericht von Felix Lill

    1. AWS Amazon bietet seine Machine-Learning-Tutorials kostenlos an
    2. Random Forest, k-Means, Genetik Machine Learning anhand von drei Algorithmen erklärt
    3. Machine Learning Amazon verwirft sexistisches KI-Tool für Bewerber

      •  /