Rootkit-ähnliches Framework erlaubt Schwachstellen-Analyse im Kernel

Security-Tool RE:trace entdeckt und stoppt Pufferüberlauf in Echtzeit

22.02.2008 | Redakteur: Stephan Augsten

Auf Basis von DTrace aus Mac OS X Leopard entstand das Vulnerability Analysis Tool RE:trace.
Auf Basis von DTrace aus Mac OS X Leopard entstand das Vulnerability Analysis Tool RE:trace.

Buffer Overflows in Anwendungen unter Mac OS X und anderen Unix-artigen Betriebssystemen lassen sich neuerdings mithilfe eines Ruby-basierten Frameworks aufdecken. Dazu werden Funktionen des Performance-Monitoring-Tools DTrace genutzt, das Apple in sein Leopard-OS integriert hat. Zwei Security-Experten haben das Tool erweitert und die Lösung „RE:trace“ getauft.

Eigentlich können Reverse-Engineering- und Security-Spezialisten mit DTrace Fehler im Heap- und Stack-Speicher ausfindig machen und beheben. Auf diese Weise sollte das Tool von Sun Microsystems dabei helfen, Apllikationen und Betriebssysteme zu bereinigen. Doch nun dient es Security-Spezialisten auch zu anderen Zwecken.

Die Sicherheitsexperten Tiller Beauchamp und David Weston haben auf der Black Hat Conference ihr Tool RE:trace öffentlich vorgestellt. Dabei haben sie gezeigt, wie sie nicht nur Overflows in Heap und Stack sondern auch Pufferüberläufe aufdecken können.

Ein Buffer Overflow lässt sich anschließend stoppen, bevor die betroffene Anwendung abstürzt. „Damit wird die Zeit für eine Schwachstellen-Analyse erheblich verkürzt“, verdeutlicht Weston. Außerdem sei es mithilfe des Frameworks möglich, Daten während ihrer Verarbeitung durch eine Anwendung zu tracken.

Security-Experten nutzen Rootkit-artige Funktionen

„DTrace arbeitet im Kernel und hat damit Zugriff auf das komplette Betriebssystem“, erläuterte Weston auf der Black Hat Conference. Damit sei es ein „gutmütiges, programmierbares Rootkit“. Allerdings sei DTrace nicht speziell fürs Reverse Engineering entwickelt worden und beinhalte somit auch nicht alle Funktionen, die hierfür nötig seien.

Aus diesem Grund haben Weston und Beauchamp mithilfe der Programmiersprache Ruby einige solcher Funktionen implementiert. Zu den neuen Features gehören unter anderem

  • die Möglichkeit, eine Suche in den Hauptspeicher auszulagern,
  • die Funktionen einer Anwendungen objektorientiert abzubilden oder auch
  • Feedback über die Aktionen einer Anwendung einzuholen.

Beispielsweise kann RE:trace dem Anwender zeigen, wer jedes einzelne Speicher-Bit nutzt, wie viel Speicher während einer Attacke übergelaufen ist oder ob ein Speicherbereich jemals freigegeben wurde.

Weston und Beauchamp wollen ihre Arbeit an RE:trace fortsetzen. Weitere Funktionen sollen also in den kommenden Monaten folgen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2011033 / Schwachstellen-Management)