Windows Kernel Exploitation - warsztat

Kilka interesujących artykułów, które znalazłem, a dotyczyły one wykorzystanie podatności w jądrze systemu Windows. Punktem wejścia jest tutaj przede wszystkim interakcja z API win32k.sys. Podstawowe funkcje:

• zawiera windows manager
  
  • kontroluje wyświetlania okien
  • zarządza wyjściem na ekran
  • kolekcjonuje dane wejściowe z klawiatury, myszy itd.,
  • woła zdefiniowane przez aplikacja hook-i
  • przekazuje mesgi użytkownika do aplikacji
  • zarządza obiektami użytkownika
• zawiera graphics device interface (GDI) - bibilioteki funkcji graficznych
  
  • rysowanie i manipulowanie obiektami: liniami, tekstem i figurami
  • zarządza obiektami (GDI) takimi jak brushes, pens, DCs itp.
  • dostarcza API dla sterowników viedeo/drukarki

W sumie po stronie użytkownika można wywołać ponad 800 funkcji. Warto też wiedzieć, że każdy typ obiektu zdefiniowany jest prze unikalną strukturę (np. win32k!tagWND, win32k!tagCURSOR, itp.).

Szczerze mówiąc najbardziej zainteresował mnie warsztat, jakim posługują się autorzy artykułów. Nie kierowałem się żadnym kluczem, po znalezieniu pierwszego artykuły przeskakiwałem do przypisów i tym sposobem stworzyłem sobie małą listę. Nie zagłębiałem się też zbyt mocno w samą tematykę, więc jest to coś do czego będzie warto wrócić.

• Exploiting MS15-061 Microsoft Windows Kernel Use-After-Free (win32k!xxxSetClassLong)
• Exploiting CVE-2015-2426, and How I Ported it to a Recent Windows 8.1 64-bit
• Easy local Windows Kernel exploitation
• GDT and LDT in Windows kernel vulnerability exploitation
• Common WinDbg Commands (Thematically Grouped)

Ostatnia źródło informacji to bardzo fajna prezentacja z konferencji Blackhat 2011 ("Kernel Attacks Through User- Mode Callbacks") i opowiada o samej architekturze systemu i klasach błędów jakie można w nim napotkać: use-after-free (alokacja i niszczenie obiektów np. znajdujących się w menu), null-pointer-dereference. Więcej około 30-35 minuty.

[BlackHat] Karsten Nohl - Rooting Sim Cards (USA 2013)

Kolejny bardzo udany wykład, Karsten Nohl na temat przełamywania zabezpieczeń w sieciach telekomunikacyjnych. Tym razem na temat rootowania kard SIM:

• [BlackHat] Karsten Nohl - Rooting Sim Cards

Operator ma możliwość instalowania na naszej karcie SIM, swojego oprogramowania np. preferowanych operatorów wykorzystywanych podczas roamingu. Instalacja odbywa się przez wysłanie binarnej wiadomości SMS (specjalny rodzaj - identyfikowany przez odpowiedni nagłówek), z komendą/aplikacją podpisaną (DES/3DES/AES) przez operatora. Taki sam klucz (wgrany kiedyś przez operatora na kartę) używany jest do stworzenia podpisanej odpowiedzi. Odpowiedzią, może być error informujący o źle podpisanej pierwotnej wiadomości. Odpowiedź (i czy w ogóle jest) zależy od telefonu i wynika najpewniej z różnej interpretacji standardu. Nohl-owi udało się złamać taki klucz (DES), tworząc tęczową tablicę.
Wgranie własnej aplikacji, niesie ciekawe perspektywy, np. pełne sklonowanie karty. Jak twierdzi Nohl, można ominąć sandbox - przynajmniej w dwóch popularnych implementacjach Java Card VM. Podatności jest ponoć dużo więcej i są dość proste do znalezienia, ale szczegóły zachował dla siebie.

Bezpieczeństwo w sieciach GSM

Dwie ciekawe prezentacje omawiające bezpieczeństwo w sieciach GSM.

Pierwsza: "Blackhat 2011 - War Texting: Identifying and Interacting with Devices on the Telephone", w której autor szeroko omawia ataki na technologię M2M (machine-to-machine), gdzie urządzenia komunikują się ze sobą za pomocą wiadomości tekstowych w sieciach GSM. Jednym z przykładów może być usługa oferowana przez producentów samochodów, pozwalająca na otwarcie/uruchomienie samochodu, w przypadku, gdy klient zapodział, gdzieś kluczyk. Na końcu prezentacja ataku na taką usługę.

Druga prezentacja: "Blackhat 2010 - Attacking phone privacy" autorstwa Karsten Nohl, pokazująca skuteczny (i tani) atak na algorytm A5/1 (http://pl.wikipedia.org/wiki/A5_(kryptografia)) stosowany w sieciach GSM, do zapewnienia poufności informacji. Również z prezentacją na końcu.

Ataki "na" i "z" JavaScript

Dwie bardzo fajne prezentacje, które udało mi się ostatnio obejrzeć. Pierwsza, dotyczy ataków na kompilatory JIT, np. JavaScript-owy silnik w przeglądarce.

• http://www.blackhat.com/html/bh-us-11/bh-us-11-briefings.html#Rohlf
• http://www.matasano.com/research/Attacking_Clientside_JIT_Compilers.pdf

Druga pokazuje, kto tak naprawdę korzysta z "anonimowych proxy" ;) i jak wstrzykiwać złośliwi kod JavaScript do stron, która przez taki serwer przechodzą.

• http://www.defcon.org/html/defcon-20/dc-20-speakers.html#Alonso

Przy okazji, dowiedziałem się o ciekawym projekcie. Może kiedyś będzie szansa się w to zagłębić:

• http://beefproject.com/