50天53個漏洞:Adobe Reader 模糊測試結果驚人
責編:gltian |2018-12-20 13:05:39自動化漏洞查找工具在50天內從 Adobe Reader 和 Adobe Pro 中找出50多個CVE。
安全公司 Check Point 使用流行 Windows 模糊測試框架WinAFL進行了為期50天的實驗,在 Adobe Reader 中找出53個新關鍵漏洞。
該公司透露,2017年報告的新漏洞總數約為1.4萬個,遠遠超出以往年份,是2016年的2倍還多。究其原因,可能是模糊測試器(即自動化漏洞查找工具)功能的完善和流行度的上升。
模糊測試器并非新鮮事物,早在20多年前就已出現,但如今變得更加強大和易用了。Fortinet預測AI模糊測試在2019年將迎來增長,因為人工智能能令模糊測試器更加高效。該趨勢下零日漏洞利用可能會更加常見,影響設備及系統的安全保護過程。
專業威脅研究人員通常在實驗室環境下用模糊測試查找硬件和軟件中的漏洞。他們往接口和程序中輸入無效或半隨機數據,然后觀察程序崩潰、潛在內存泄漏、無記錄的調試過程跳轉、代碼斷言失敗和其他行為。
安全專家往往避免使用模糊測試器,因為他們覺得這是一種麻煩。雖然采用在增加,Check Point 還是想看看有多少觸手可得的漏洞被漏掉了。50天的實驗期里,他們在 Adobe Reader 中找出了50多個新CVE。平均每天找出一個CVE可不是漏洞研究的正常速度。
Check Point 的報告中稱,他們選擇了很常見的Windows模糊測試框架WinAFL,測試目標也是所能想到的最普通的 Adobe Reader。50天的時間框架涵蓋了整個測試項目:逆向工程代碼、搜尋可能有漏洞的庫、編寫框架,以及運行模糊測試工具。
WinAFL是AFL的Windows分叉,由谷歌 Project Zero 的 Ivan Fratric 創建并維護,是能讓研究人員測試閉源程序的另一類工具,在查找文件格式漏洞上很有效果,尤其是對壓縮二進制文件而言。
知道WinAFL更善于對付二進制格式,研究人員便選擇集中精力攻擊特定解析器。問題就在于找到這么一個解釋器,并為之編寫框架。在模糊測試領域,框架用于針對 Adobe Reader 之類的復雜軟件,因為找出目標函數(模糊測試過程的入口點)從本質上講并不那么容易。
在模糊測試會話開始前,研究人員必須確保總路徑數量是在增加的——模糊測試器以該框架探索新路徑的標識。如果路徑數量是零或者接近于零,那就要調查一下有沒有什么問題了。框架的穩定性應該在80%以上,且對模糊測試器的準確性和性能有很大影響。
模糊測試器的運行相當簡單直觀,但應按下列順序進行:啟動模糊測試器、檢查覆蓋率和崩潰、調查覆蓋、使用cmin,然后重復。應該寫個機器人程序來檢查所有模糊測試器的狀態,繪制每個測試器嘗試過的路徑,分類崩潰和產生報告,以及重啟鎖死的模糊測試器。
必須自動化上述操作,否則模糊測試就是相當繁瑣而容易出錯的。
Check Point 的策略讓他們在 Adobe Reader 和 Adobe Pro 中發現了53個關鍵漏洞,且他們針對不同解析器重復該過程才得出最終的CVE列表。
Check Point 報告: