Fuzzing browsers by generating malformed HTML/HTML5

Florencio Cano Gabardafcano@seinhe.com

@florenciocano

AGENDA

1. Introducción al fuzzing2. Rationale3. Peach Fuzzer4. Mi fuzzer de navegadores web5. Fuzzeando a las bravas6. Fuzzeando mediante WebSockets

INTRODUCCIÓN AL FUZZING

¿Qué es fuzzing?

• Es una técnica de testeo de software consistente en pasar datos aleatorios como entrada a un programa.

• Durante este proceso el programa se monitoriza a la espera de “cuelgues” (crashes).

Fuzzing

Generación / Mutación

Ejecución monitorizada

Implementación del fuzzer

Tipos de fallos que se pueden descubrir con fuzzing

• Buffer overflows• Integer overflows• Format string vulnerabilities• Race condition vulnerabilities• SQL injection• Cross Site Scripting (XSS)• Remote command execution• Filesystem attacks (directory traversal, etc.)• Information leaking vulnerabilities

Tipos de fallos que se pueden descubrir con fuzzing

• Buffer overflows• Integer overflows• Format string vulnerabilities• Race condition vulnerabilities• SQL injection• Cross Site Scripting (XSS)• Remote command execution• Filesystem attacks (directory traversal, etc.)• Information leaking vulnerabilities

PRINCIPALMENTE: CORRUPCIONES DE MEMORIA

Clasificación según el tipo de fuzzing

• Dumb fuzzing: Generación de datos semi-aleatorios, sin estructura

• Smart fuzzing: Implementación de la especificación. Fuzzing partiendo de estructuras correctas

Dumb fuzzing vs Smart fuzzingDumb fuzzing Smart fuzzing

Ventajas Ventajas

- No es necesario definir estructura válida

- Más rápidos

- Pueden llegar donde no llegan los dumb fuzzers

- Más información de los crashes

- Pueden generar ficheros malformados desde cero

Desventajas Desventajas

- Los ficheros malformados pueden filtrarse rápidamente por no cumplir una estructura

- Necesitan una muestra amplia de ficheros base sobre los que hacer las mutaciones

- Más lentos- Hay que definir toda la

estructura

Dumb fuzzing vs Smart fuzzing

• Para aplicaciones complejas:– Primero: Dumb fuzzing para identificar qué partes

de la aplicación provocan más crashes– Segundo: Implementación de smart fuzzers para

las partes identificadas con dumb fuzzing

Clasificación según el objetivo

• Distintos tipos de fuzzing– De formatos de fichero– De protocolos de red– GUIs– Librerías

Fuzzing de formatos de fichero

• Generamos un fichero con un formato que incluye algo malformado

• Preparamos software (debugger) para que monitorice la ejecución del objetivo

• Ejecutamos el objetivo pasándole el fichero generado

Ejemplo: Formato WAV

• Generamos un fichero WAV pero con cabeceras que contradicen el estándar (tamaño 0, tamaño muy alto, orden cambiado…)

• Preparamos software (debugger) para que monitorice, por ejemplo, iTunes

• Ejecutamos iTunes pasándole el WAV malformado generado

Fuzzing de red

• El fuzzer genera paquetes de red malformados• Preparamos software (debugger) para que

monitorice la ejecución del servidor• Enviamos paquete de red al servidor

RATIONALE

Ventajas del fuzzing

• Podemos probar muchas entradas en poco tiempo

• Automatización• Cobertura• Reutilización

¿Quién habla de fuzzing?• Adobe - http://blogs.adobe.com/asset/2009/12/fuzzing_reader_-_

lessons_learned.html• Microsoft• Tavis Ormandy – Google Security Team - http://

googleonlinesecurity.blogspot.com.es/2011/08/fuzzing-at-scale.html• Charlie Miller -http://cansecwest.com/csw08/csw08-miller.pdf• Dan Kaminsky - http://

fuzzinginfo.files.wordpress.com/2012/05/showing-how-security-has-improved.pdf

• The Grugq - http://fuzzinginfo.files.wordpress.com/2012/05/ben-nagy-prospecting-for-rootite-2010.pdf

• Sinn3r - http://fuzzinginfo.files.wordpress.com/2012/05/memory-fuzzing.pdf• Aaron Portnoy - http://

fuzzinginfo.files.wordpress.com/2012/05/introducing_sulley.pdf• Dave Aitel - http://

fuzzinginfo.files.wordpress.com/2012/05/advantages_of_block_based_analysis.pdf

¿Qué estoy fuzzeado?

¿Por qué los estoy fuzzeando?

• Criticidad:– Software más usado– Ahora “OS” basados en browsers– Computación en la nube

• Demanda:– Pwn2own– Bugbounty– Bounties de los distintos fabricantes

Pwn2own y Pwnium

• En 2013 hasta 3,14159 millones de US $

Bugcrowd.com

https://bugcrowd.com/list-of-bug-bounty-programs/

Browser’s bounty programs

• Microsoft - Internet Explorer 11 Preview Bug Bounty - http://www.microsoft.com/security/msrc/report/bountyprograms.aspx

• Mozilla - http://www.mozilla.org/security/bug-bounty.html

• Google – Chromimum Vulnerability Reward program - http://www.chromium.org/Home/chromium-security/vulnerability-rewards-program

• http://pentest.netragard.com/netragards-eap/• http://www.zerodayinitiative.com/

Mercado

http://www.forbes.com/sites/andygreenberg/2012/03/23/shopping-for-zero-days-an-price-list-for-hackers-secret-software-exploits/

¿Por qué HTML/HTML5?

• Reciente implementación / En desarrollo• Interacción con el sistema operativo• HTML5 no solo en browsers (Metro,

FirefoxOS…)

PEACH FUZZER

¿Cómo lo vamos a fuzzear?

Peach Fuzzing Platform

• Es un framework para el desarrollo de nuestros propios fuzzers, no es un fuzzer

• Integra la interacción con los debuggers, lanzamiento del objetivo, etc.

• Dumb y smart fuzzing (mutación y generación)• Mutators ya desarrollados• Multiplataforma. Originalmente Python (v2.x)

recientemente reprogramado from scratch en C#• Herramientas de apoyo ya desarrolladas:

PeachMinset, PeachValidator, Hotfuzz…

Peach Workflow (ejemplo)

• Se especifica el formato válido de lo que queremos fuzzear en un fichero XML (denominado PIT) según los elementos que nos proporciona Peach

• Se indica en el mismo PIT como se lanzará el objetivo, estados, los monitores que se usarán (debuggers, etc.), donde loguear los fallos que se detecten, etc.

• Se comprueba que nuestra definición “parsea” o “crackea” un fichero válido real

• ¡Se lanza el fuzzer!

Peach Fuzzing Platform

• Data modeling• Mutators• Hints• State modeling• Agents• Monitors• Test & Run• PeachValidator

Peach Fuzzing PlatformData modeling

• Un PIT tiene siempre al menos un data model• Describe la estructura de los datos que

queremos fuzzear: tipos, relaciones (longitudes, counts, offsets)

• La calidad del fuzzer desarrollado con PIT dependerá en gran medida de lo buena que sea la definición que hagamos de los data model

Peach Fuzzing PlatformData modeling

Peach Fuzzing PlatformMutators

• Son los elementos que se encargan de introducir modificaciones en el formato correcto de los datos intentando generar fallos en el programa

• Mutators para números, cadenas, blobs…

Peach Fuzzing PlatformMutators

Peach Fuzzing PlatformHints

• Pistas para el fuzzer y ser más óptimo a la hora de fuzzear o escoger unos mutators frente a otros

Peach Fuzzing PlatformState modeling

• Define la máquina de estados necesaria para lanzar el objetivo y manipularlo durante el fuzzeado.

Peach Fuzzing PlatformState modeling

Peach Fuzzing PlatformAgents

• Los agentes son procesos de Peach que se asocian con los monitores (debuggers, memoria, etc.) para lanzar y monitorizar la ejecución del objetivo

Peach Fuzzing PlatformMonitors

• Monitores son cada uno de los elementos que permite configurar Peach para “vigilar” la ejecución del objetivo

Peach Fuzzing PlatformMonitors

Peach Fuzzing PlatformMonitores para Windows

Peach Fuzzing PlatformMonitores para OS X

Peach Fuzzing PlatformMonitores para Linux

Peach Fuzzing PlatformMonitores multiplataforma

Peach Fuzzing PlatformTest and run

• Es donde especificamos el agente que vamos a usar, la estrategia de fuzzing, el logger, el estado inicial y otros elementos necesarios para comenzar el fuzzing.

MI FUZZER DE NAVEGADORES WEB

Ejemplo de PIT

Peach Fuzzing PlatformValidando el PIT

• Ejecutamos Peach con debug y solo una iteración y vemos el proceso de cracking:

C:\> Peach -1 –debug fuzzpit.xml > peach_crack.txt

Peach Fuzzing PlatformValidando el PIT

Peach Fuzzing PlatformPeachValidator

FUZZEANDO A LAS BRAVAS

Peach Fuzzing Platform¡Ejecución!

Ejecución única o en paralelo

• Virtualización• En teoría no debería haber diferencia• En la práctica, al no ser el cuello de botella la

CPU, por cada nodo adicional incrementamos la velocidad el 100%

Peach –p 3,1 –debug fuzzpit.xml

Algunos problemillas prácticos

• Arranque de los navegadores• Malware detection en Windows 8• Velocidad de los mutators

Algunos problemillas prácticosArranque de los navegadores

• Cada navegador se comporta de manera diferente tras forzarse su cierre mediante el fuzzer

• Tuve que buscar las claves de registro de configuración de cada uno para evitar que saliera una pantalla de recuperación o una splash screen

Algunos problemillas prácticosMalware detection en Windows 8

• Windows 8 tiene un antivirus por defecto instalado

• Detectada algunos HTML que generaba como malware y los borraba

• Esto interfería con el fuzzing

Algunos problemillas prácticosVelocidad de los mutators

• Inicialmente la velocidad del fuzzer era inaceptable

• Se retocó y optimizó el PIT• Use un profiler para ver los cuellos de botella de

Peach (C#)• Finalmente una versión posterior de PIT era

mucho más rápida• Aun así otros enfoques son más rápidos

(Websockets)

FUZZEANDO MEDIANTE WEBSOCKETS

Fuzzing browsers con otro enfoque

• Uno de los cuellos de botella existentes es abrir y cerrar el navegador

• Esto se puede evitar usando WebSockets• Peach tiene un Publisher desarrollado de

WebSockets

¿Qué son WebSockets?

• Es un protocolo para el intercambio bidireccional de datos entre browser y server

• Cambio de paradigma en la comunicación web

Nueva estructura

• Desarrollo un Javascript para el navegador que se conecta al “servidor” que en este caso es el Publisher de Peach

• Intercambian unos datos y Peach envía los datos al navegador

• El Javascript recibe los datos y los abre en una pestaña nueva, espera e indica al fuzzer que ok

Nueva estructura

• peach_ws_client.html• peach_ws_template.html

peach_ws_client.html

function onMessage(evt) { obj = JSON.parse(evt.data.split("\n")[0]); content = obj.content; fuzzed_window = window.open('about:blank','_blank'); fuzzed_window.document.write(atob(content)); checkLoad(); fuzzed_window.close(); websocket.send('{ "msg" : "Evaluation complete" }'); }

peach_ws_template.html

Mayor rapidez

• Con WebSockets el fuzzing es más rápido ya que no hay que abrir y cerrar el navegador

WebSockets support

Peach Fuzzing PlatformDumb fuzzing + WebSocket publisher

Trabajo futuro

• Custom mutators• Grammar based generators• Granja de fuzzing

Referencias (I)• Fuzzing: Brute Force Vulnerability Discovery (ISBN 0321446119)• Fuzzing for Software Security Testing and Quality Assurance (ISBN

1596932147)• http://

security.stackexchange.com/questions/6998/best-way-to-triage-crashes-found-via-fuzzing-on-linux

• The Art of File Format Fuzzing. iDEFENSE Labs• http://googleonlinesecurity.blogspot.com.es/2011/08/fuzzing-at-scale.html• Using fuzzing to detect security vulnerabilities. INFIGO-TD-01-04-2006.• Charlie Miller – http://cansecwest.com/csw08/csw08-miller.pdf• http://blogs.adobe.com/asset/2009/12/fuzzing_reader_-_

lessons_learned.html• http://fuzzing.info/papers/• Happy Fuzzing Internet Explorer HITCON Orange@chroot.org

Referencias (II)

• http://0xffe4.org/browser-fuzzing-bamboo/ • http://redmine.corelan.be/projects/corelanfuzztemplates/rep

ository/revisions/13/entry/peach/• http://www.flinkd.org/• Industrial Bug Mining – Ben Nagy - http://

www.youtube.com/watch?v=S1mBZH9PPCQ• ##peachfuzzer at Freenode• #corelan at Freenode• https://www.corelan.be/index.php/2013/02/26/root-cause-a

nalysis-memory-corruption-vulnerabilities/

• Grammar-based Whitebox Fuzzing by Godefroid, Kiezum and Levin

• “Playing with a Dell laptop” por FFries Photo• “Personal Income Taxes V8” por StockMonkeys.com• “locking practice block” por insunlight• “Bull Rider Down 2012” por Bill Gracey• “TQFP Socket Enclosure” por rileyporter

¿Preguntas?

Florencio Cano GabardaSocio, ingeniero y consultor de seguridad en SEINHECISA, IRCA 27001 Lead Auditor@florenciocanofcano@seinhe.comwww.seinhe.com

Fuzzing browsers by generating malformed HTML/HTML5

Documents

Logical Fuzzing

Security Testing esp. Fuzzing - cs.ru.nlcs.ru.nl/~erikpoll/ss/slides/12_Fuzzing.pdf · Overview • Testing • Abuse cases & negative tests • Fuzzing –dumb fuzzing –generational

File Format Fuzzing in Android - DeepSec · Agenda 2 •File format fuzzing in Android •Fuzzing the Stagefright media framework •Fuzzing the Android application installer •Fuzzing

Introduction to Information Security · Introduction to Information Security Fuzzing 1. Today •Introduction to fuzzing •Fuzzing principles •Useful tools and leads. What is fuzzing?

Fuzzing JavaScript Engines with Aspect-preserving Mutationdie.pdf · JavaScript engines are one of the complex components of modern browsers. Although the design and implementation

Fuzzing Attacks and Protection on VoIP/UCbe.security.westcon.com/documents?documentId=35682&filename=... · Impact of Fuzzing Attacks ... • Attacker gains access using fuzzing in

Fuzzing Frameworks - Black Hat | Home€¦ · Fuzzing Frameworks . Pedram Amini Introduction . There are a number of available specialized fuzzing utilities

HISTOLOGICAL CHANGES IN THE BRAINS OF MALFORMED …

From Blackbox Fuzzing to Whitebox Fuzzing towards Verification · Page 1ISSTA’2010 July 2010 From Blackbox Fuzzing to Whitebox Fuzzing towards Verification Patrice Godefroid Microsoft

Fuzzing JavaScript Engines with Aspect-preserving Mutationdie.pdfJavaScript engines are one of the complex components of modern browsers. Although the design and implementation of

HIGH-DEF FUZZING - Ruxcon Fuzzing... · HIGH-DEF FUZZING EXPLORING VULNERABILITIES IN HDMI-CEC name = "Joshua Smith" job = "Senior Security Researcher"

Strikingly malformed host morphology: Myrnuca rugulosa Nyl ...rcin.org.pl/Content/45410/WA058_54238_P256-T50_Frag-Faun-Nr2.pdf · Strikingly malformed host morphology: Myrnuca rugulosa

Fuzzing Frameworks, Fuzzing Languages?!

Exploiting browsers the logical way - Hack In The Box · Introduction Exploiting browser.. what way? ... No scanning / fuzzing tools used whatsoever. ... Exploiting browsers the logical

A Framework for Detecting Malformed SMS Attack

Fuzzing—orhowtohelpcomputerscopewiththeunexpected Fuzzing ...cdn.ttgtmedia.com/.../downloads/RHUL_Fuzzing_final.pdf · RoyalHollowaySeries Fuzzing—orhowtohelpcomputerscopewiththeunexpected

13 Fuzzing

Full-speed Fuzzing: Reducing Fuzzing Overhead through

From Blackbox Fuzzing to Whitebox Fuzzing towards Verificationsiy117527/sil765/readings/fuzzing testing.pdf · Page 1ISSTA’2010 July 2010 From Blackbox Fuzzing to Whitebox Fuzzing

Security Testing esp. Fuzzing - E. Poll, - cs.ru.nl · Overview • Testing • Abuse cases & negative tests • Fuzzing –dumb fuzzing –generational aka grammar-based fuzzing