16. Juni 2007

Reverse Engineering von Patches

Category: Hacking — Christian @ 01:58

Auf der DailyDave Mailingliste gefunden:

Nach der Veröffentlichung eines Patches dauert es in der Regel heute weniger als eine Woche bis die ersten Exploits und oft sogar direkt Viren oder Würmer verbreitet werden, die diese Sicherheitslücke ausnutzen. Wie ich das letzte mal geschaut habe, hat Symantec den Wert auf 6,9 Tage geschätzt (leider keine Quelle).

Wie einfach das geht haben die Jungs von Sabre Security gerade eben wieder vorgeführt. Der Flash-Film (Achtung, groß), zeigt die Analyse der MS07-031 Sicherheitslücke (SChannel Off-By-One Heap Corruption, gefunden von Thomas Lim von Coseinc) mittels BinDiff. Die Jungs um Halvar Flake sind gut, das ist nichts neues und wurde durch den Gewinn des deutschen IT-Sicherheitspreises eindrucksvoll bestätigt.

Der Flash-Film zeigt, wie die beiden Binaries automatisch deassembliert und verglichen werden. Unterschiedliche Code-Segmente werden gelb eingefärbt, komplett neue Code-Segmente erscheinen rot. So kann innerhalb kurzer Zeit analysiert werden, welche Veränderungen am Code vorgenommen wurden und oft lässt sich daraus bereits auf einen möglichen Exploit schließen.

Kuckt es Euch an …


Tags: , , , ,

1 Kommentar

  1. Kommentare gesperrt wegen Spam

    Comment by Christian — 14. Mai 2008 @ 23:47

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.