IOCTLbf V0.4 Traz Melhorias para Práticas de Fuzzing

IOCTLbf é um utilitário de segurança muito interessante. Ele é classificado como uma pequena ferramenta de "prova de conceito" (Proof of Concept), que pode ser utilizada para procurar vulnerabilidades em drivers do kernel do Windows ao executar duas importantes tarefas. Uma dessas tarefas está voltada para processos de scanning para códigos IOCTLs válidos suportados por condutores, e a outra tarefa, está ligada à fuzzing de IOCTLs com base em geração.


Existe uma grande vantagem apresentada por esta ferramenta: ela não se baseia nos IOCTLs capturados. Portanto, ela tem a capacidade de códigos IOCTL válidos, suportados pelos controladores e que muitas vezes não são, ou nunca são utilizados por aplicativos locais de seus usuários. Isso pode incluir IOCTLs em condições muito específicas (quando não há facilidade de descoberta ou reprodução) e IOCTLs utilizado para fins de depuração.

Quando o processo de scanning é realizado e IOCTLs válidos foram encontrados por um determinado driver, o usuário pode escolher um IOCTL que esteja disponível na lista para começar o processo de fuzzing. Neste cenário, podemos observar que essa ferramenta só entra em execução de fuzzing baseados em geração. Comparado com a técnica de fuzzing com base em mutação (que consiste em validar buffers de IOCTL e adição de anomalias), a cobertura de código é, evidentemente, muito menos relevante.


Saiba Mais:

[1] IOCTLBF V0.4 http://www.seclist.us/2012/03/ioctlb...s-fuzzing.html