Mantiant’ın yeni bir raporuna göre, Microsoft’un Windows program yürütmelerini kaydetmek ve tekrarlamak için güçlü bir araç olan Microsoft’un Time Seyahat Hata Ayıklama (TTD) çerçevesi, Windows program yürütmelerini kaydetmek ve tekrarlamak için güçlü bir araç, CPU öğretim emülasyon sürecinde ince ama önemli hataları barındırdığı bulundu.
Bu kusurlar güvenlik analizlerini baltalayabilir, maskeler güvenlik açıklarını ve hatta saldırganların tespitten kaçınmasına izin vererek olay müdahalesi ve kötü amaçlı yazılım araştırmalarında ciddi riskler oluşturabilir.
CPU talimatlarını taklit etmek için Nirvana çalışma zamanı motoruna dayanan TTD, güvenlik araştırmacıları ve analistler tarafından bir programın yürütme geçmişini hassasiyetle yakalamak ve tekrarlamak için yaygın olarak kullanılmaktadır.
Bununla birlikte, Mantiant’ın araştırması, bu emülasyon katmanındaki talimat işlemesindeki tutarsızlıklardan kesilmiş hata ayıklama çıktılarına kadar değişen yanlışlıkların sonuçları çarpıtabileceğini ve potansiyel olarak kaçırılan tehditlere veya kusurlu sonuçlara yol açtığını ortaya koydu.
Belirlenen tüm hatalar TTD sürüm 1.11.410’da çözülmüştür, ancak bulgular modern siber güvenlik için kritik olan araçların kırılganlığının altını çizmektedir.
TTD ve kusurlarına daha yakından bakmak
2006 yılında Microsoft tarafından tanıtılan ve Nirvana’nın dinamik ikili çevirisi tarafından desteklenen TTD, analistlerin bir sürecin yürütülmesini bir izleme dosyasına kaydetmelerini ve program davranışının zaman makine benzeri bir görünümünü sunarak adım adım tekrar oynamasını sağlar.
Bu özellik hata ayıklama, ters mühendislik ve diseksiyon kötü amaçlı yazılım için paha biçilmezdir. Ancak, çerçevenin doğru CPU öykünmesine olan bağımlılığı, gerçek dünya donanımının sergilemediği hatalara karşı savunmasız hale getirir.
Mantiant’ın ekibi, TTD altında yürütülebilir 32 bit Windows’ta yerel donanım veya sanal makinelerde gerçekleşmeyen bir çarpışma gözlemledikten sonra birkaç emülasyon hatasını ortaya çıkardı.
Soruşturmaları şu şekilde saptadı:
- Pop R16 Hata: POP R16 talimatının emülasyonu, ESI kaydının üst bitlerini, yerel CPU davranışından farklı olarak yanlış bir şekilde etkisiz hale getirdi.
- İtme segment tutarsızlığı: Intel ve AMD CPU’larının Modern Donanım ile yanlış hizalanmış TTD’nin modası geçmiş emülasyonunu ortaya çıkaran itme segmenti talimatını nasıl uyguladığına dair varyasyonlar.
- Lodsb/Lodsw hataları: Bu talimatlar, yürütme sonuçlarını değiştirerek üst kayıt bitlerini yanlış bir şekilde temizledi.
- Ttdanalyze kesme: Bir Windbg Uzatma Kususu 64 KB’da çıkış tamponları, sembol sorgu sonuçlarını kesen ve hata ayıklama doğruluğundan ödün veriyor.
Araştırmacılar, bulanık teknikleri ve kavram kanıtı kodunu kullanarak, bu tutarsızlıkları doğruladılar ve küçük öykünme hatalarının bile önemli güvenilirlik sorunlarına dönüşebileceğini vurguladılar.
Güvenlik etkileri
Bahisler yüksek. Yanlış emülasyon, kötü amaçlı yazılım davranışını gizleyebilir, adli araştırmaları raydan çıkarabilir veya saldırganların tespit edilmesini önlemek için TTD’nin zayıflıklarından yararlanan istismarlar yapmalarına izin verebilir.
Raporda, “Emülasyon davranışındaki küçük sapmalar bile kodun gerçek yürütülmesini yanlış tanıtabilir” diye uyardı ve yerel yürütmeyi sadakatle yansıtmak için hata ayıklama araçlarına duyulan ihtiyaç olduğunu vurguladı.
Güvenlik uzmanları için, bu bulgular yüksek bahisli senaryolarda TTD’nin güvenilirliği hakkında sorular ortaya koymaktadır.
Rapor, hatalar ince olsa da, tehdit analizini eğme veya güvenlik açıklarını gizleme potansiyellerinin geniş kapsamlı sonuçlara sahip olabileceğini belirtiyor.
İşbirliği ve Düzeltmeler
Mantiant, hataları Microsoft’un TTD ekibine bildirdi ve bu da en son güncellemede derhal hitap etti. Ek açıklanmayan ek konular, çözüm beklemede devam ediyor.
Araştırmacılar ayrıca, 2007 yılından bu yana farklı Intel ve AMD uygulamalarına atıfta bulunarak, güvenlik dışı bir endişe olarak görülen AMD’ye itme segmenti tutarsızlığını işaretlediler.
Rapor, Microsoft’un Windows güvenlik araştırmalarının temel taşı haline gelen halka açık bir araç olan TTD’yi iyileştirmeye duyarlılığını ve taahhüdünü övüyor.
Yazarlar, “Bildirdiğimiz sorunları ele almaya hazır olma ve destekleri… TTD’yi sağlam ve güvenilir tutma taahhüdlerinin altını çiziyor” diyor.
Mantiant’ın TTD’nin emülasyon zorluklarına derin dalışı, hem bir uyarı hem de harekete geçirici bir çağrı olarak hizmet eder.
CPU mimarileri daha karmaşık büyüdükçe ve hata ayıklama araçları siber güvenlik için vazgeçilmez hale geldikçe, titiz doğrulama ve sürekli iyileştirme ihtiyacı hiç bu kadar büyük olmamıştı.
Rapor, bu araçların güvenilir kalmasını sağlamak için araştırmacılar ve satıcılar arasında devam eden bulanıklaştırma, platformlar arası test ve işbirliğini savunuyor.
Şimdilik, TTD sürüm 1.11.410’da sabitlenmiş hatalarla, kullanıcılar daha fazla güvenle ilerleyebilirler. Ancak daha geniş ders kalır: Emülasyon ve güvenlik karmaşık dansında, en küçük yanlış adım bile büyük ölçüde sonuçlara sahip olabilir.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!