Onderzoeker TU Delft ontwikkelt tool voor detectie van ernstige kwetsbaarheden

Onderzoeker TU Delft ontwikkelt tool voor detectie van ernstige kwetsbaarheden

Een onderzoeker van de TU Delft heeft een tool ontwikkeld voor het detecteren van ernstige kwetsbaarheden in software. Het gaat specifiek om out-of-bounds write kwetsbaarheden, waardoor een aanvaller in het ergste geval code op het onderliggende systeem kan uitvoeren. Op dit moment wordt voor het vinden van dergelijke beveiligingslekken met name fuzzing gebruikt.

Bij fuzzing wordt een programma of een stuk software met allerlei datastromen bestookt, wat vervolgens tot crashes of fouten kan leiden. Die crashes kunnen vervolgens op onbekende kwetsbaarheden wijzen. Vervolgens wordt er voor de oorzaakanalyse een inschatting gemaakt van de ernst van de gevonden beveiligingslekken. Onderzoeker Linus Hafkemeyer van de TU Delft vergelijkt dit triageproces met dat van de spoedeisende hulp, waarbij iemand bepaalt welke patiënt onmiddellijk medische zorg nodig heeft en wie er nog even kan wachten.

“Ik wilde een tool ontwikkelen die dit triageproces van out-of-bounds writes versnelt”, aldus Hafkemeyer. Volgens de onderzoeker hebben huidige methodes voor de detectie van out-of-bounds writes dat ze invasief zijn; er moet broncode aan het programma worden toegevoegd om detectie mogelijk te maken. “Maar het gedrag van dat aangepaste programma zal afwijken van het originele programma. Waargenomen afwijkend gedrag van het aangepaste programma is dus ongeschikt voor triage.”

De aanpak die Hafkemeyer ontwikkelde laat het programma in virtuele machine draaien, waarbij er eerder via fuzzing gevonden invoer wordt gebruikt die tot out-of-bounds writes kan leiden. “Zo kunnen we het gedrag van het programma van buitenaf observeren en zien hoe het reageert zonder het te hoeven aanpassen”, legt de onderzoeker uit. De einduitkomst van zijn tool is een lijst met alle broncode-objecten die door zulke onverwachte geheugentoegang worden beïnvloed. Deze informatie is vervolgens te gebruiken bij zowel de triage als oorzaakanalyse.

Hafkemeyer is één van de acht beste afstudeerders van TU Delft, genomineerd door de Faculteit Elektrotechniek, Wiskunde & Informatica. De onderzoeker werkt nu aan een publicatie van zijn onderzoek voor een cybersecuritycongres.

Bron: https://www.security.nl/posting/774339/Onderzoeker+TU+Delft+ontwikkelt+tool+voor+detectie+van+ernstige+kwetsbaarheden?channel=rss

Georgino van Hout

Georgino van Hout is een verslaggever voor InternetBlabla.nl. Hij heeft in het verleden voor verschillende cyber security bedrijven geblogd. Door zijn bijdragen aan InternetBlaBla, kunnen we de belangrijke zaken in cyber security blijven verslaan zodat we actueel blijven op het gebied van cyber veiligheid.