Die Axt im Walde

Seite 3: FileFuzz

FileFuzz

Das kostenlose Tool FileFuzz des Sicherheitsdienstleisters iDefense erzeugt auf dem Windows-PC fehlerhafte Dateien für diverse Programe und ruft sie mit der jeweils verknüpften Anwendung auf [4]. Dabei protokolliert es die Reaktion der Anwendung und zeigt unter anderem in seiner GUI an, ob ein Pufferüberlauf aufgetreten ist. FileFuzz unterstützt derzeit nur wenige Dateitypen: jpg, wmf, pdf, vcf, wab, chm, ht, rm und einige selten benutzte.

Vor dem Start des eigentlichen Fuzzing muss der Anwender über das Create-Menü des Tools die fehlerhaften Dateien erzeugen. Dazu nimmt er als Vorlage eine fehlerfreie Datei, etwa ein JPG-Bild, und überschreibt nach Nutzervorgaben bestimmte Bytes mit Nullen. Dabei lassen sich auch mehrere fehlerhafte Dateien in einem Zug erzeugen, bei denen jeweils an anderer Stelle in der Datei etwas verändert wurde.

Auf die so erzeugten Dateien lässt man im Execute-Menü des Tools eine der bereits vordefinierten Anwendungen los. Bei JPG-Bildern kann man sogar zwischen dem Internet Explorer und der Bibliothek shimgvw.dll wählen – in letzterer fand sich auch die Anfang 2006 entdeckte Lücke bei der Verarbeitung von präparierten WMF-Bildern. Abweichend von den eingebauten Vorgaben kann der Anwender die Datei aber auch mit einer eigenen Applikation starten, indem er den Pfad zu der vordefinierten Anwendung einfach durch den zur eigenen Anwendung ersetzt.

Virus — Beim Testen mit manipulierten JPG-Bildern kann schon mal der Virenscanner Alarm schlagen.

Zu jeder aufgerufenen Datei zeigt FileFuzzer Informationen an, ob und welche Datei zu einer Ausnahme im aufgerufenen Programm führte, etwa eine Speicherzugriffsverletzung oder einen Pufferüberlauf. Dabei präsentiert das Tool sogar einen Auszug aus den dazugehörigen Prozessorregistern.

Bei einem kurzen Test mit manipulierten PDF-Dokumenten ließen sich zahlreiche Pufferüberläufe im Acrobat Reader provozieren, die allerdings alle nicht ausnutzbar waren. Die Probe aufs Exempel mit fehlerhaften JPG-Bildern ließ sogar den mitlaufenden Virenscanner von AVG Alarm schlagen. Ursache war die heuristische Erkennung des Programms, das hinter den fehlerhaften Bildern einen Schädling vermutete.

FileFuzz kann wertvolle Hinweise liefern, ob in den Verarbeitungsfunktionen der jeweiligen Anwendung alles mit rechten Dingen zugeht und ob Fehler wenigstens ordentlich abgefangen werden. Zu beachten ist, dass FileFuzz die Standardpfade der englischensprachigen Versionen von Windows verwendet. In den Vorgaben ist dann etwa "Program Files" gegen "Programme" auszutauschen.