https://media.ccc.de/v/38c3-der-schlssel-zur-compromittierung-local-privilege-escalation-schwachstellen-in-av-edrs
Im vergangenen Jahr wurden von uns in fünf kritische Schwachstellen in Endpoint Protection Software entdeckt, die es uns ermöglichen, auf Basis von COM-Hijacking unsere Privilegien auf Windows-Endpunkten zu erweitern. In diesem Vortrag demonstrieren wir, wie COM-Hijacking genutzt werden kann, um Code im Kontext geschützter Frontend-Prozesse auszuführen. Zudem zeigen wir auf, wie COM Hijacking das Vertrauensverhältnis zwischen geschützten Frontend-Prozessen und Backend-Diensten aushebelt um höhere Privilegien (Local Privilege Escalation) auf Systemen zu erhalten. Des Weiteren erklären wir unsere Methodik und Vorgehensweise um solche Schwachstellen zu finden und auszunutzen. Abschließend enthüllen wir Details zu den von uns gefundenen Schwachstellen und diskutieren mögliche Gegenmaßnahmen.
COM-Hijacking ist vor allem als Technik bekannt, um auf Windows-Endpunkten Persistenz zu erreichen. In diesem Vortrag stellen wir jedoch eine weniger bekannte, aber äußerst wirkungsvolle Anwendung vor: Wir haben COM-Hijacking eingesetzt, um Code in die geschützten Frontend-Prozesse von Sicherheitsprodukten einzuschleusen. Dadurch konnten wir die Vertrauensbeziehung zwischen diesen Prozessen und den privilegierten Backends ausnutzen und hohe Privilegien auf dem Endpunkt erlangen.
In unserem Vortrag erläutern wir detailliert unsere Vorgehensweise zur Identifikation dieser Schwachstellen und stellen die technischen Aspekte der von uns entdeckten Lücken im Detail vor. Im ersten Teil des Vortrags zeigen wir, wie wir mittels COM-Hijacking in der Lage waren, Code im Kontext der geschützten Frontend-Prozesse auszuführen. Im zweiten Teil analysieren wir die Kommunikationsmechanismen zwischen Frontend und Backend und legen offen, wie wir diese Vertrauensverbindung kompromittieren konnten. Abschließend erklären wir verschiedene Techniken, die es uns ermöglichte, unsere Privilegien auf Systemebene erfolgreich zu erweitern und diskutieren Gegenmaßnahmen die ähnliche Schwachstellen verhindern könnten.
Kolja Grassmann, Alain Rödel
https://events.ccc.de/congress/2024/hub/event/der-schlssel-zur-compromittierung-local-privilege-escalation-schwachstellen-in-av-edrs/
#38c3
Licensed to the public under http://creativecommons.org/licenses/by/4.0
Im vergangenen Jahr wurden von uns in fünf kritische Schwachstellen in Endpoint Protection Software entdeckt, die es uns ermöglichen, auf Basis von COM-Hijacking unsere Privilegien auf Windows-Endpunkten zu erweitern. In diesem Vortrag demonstrieren wir, wie COM-Hijacking genutzt werden kann, um Code im Kontext geschützter Frontend-Prozesse auszuführen. Zudem zeigen wir auf, wie COM Hijacking das Vertrauensverhältnis zwischen geschützten Frontend-Prozessen und Backend-Diensten aushebelt um höhere Privilegien (Local Privilege Escalation) auf Systemen zu erhalten. Des Weiteren erklären wir unsere Methodik und Vorgehensweise um solche Schwachstellen zu finden und auszunutzen. Abschließend enthüllen wir Details zu den von uns gefundenen Schwachstellen und diskutieren mögliche Gegenmaßnahmen.
COM-Hijacking ist vor allem als Technik bekannt, um auf Windows-Endpunkten Persistenz zu erreichen. In diesem Vortrag stellen wir jedoch eine weniger bekannte, aber äußerst wirkungsvolle Anwendung vor: Wir haben COM-Hijacking eingesetzt, um Code in die geschützten Frontend-Prozesse von Sicherheitsprodukten einzuschleusen. Dadurch konnten wir die Vertrauensbeziehung zwischen diesen Prozessen und den privilegierten Backends ausnutzen und hohe Privilegien auf dem Endpunkt erlangen.
In unserem Vortrag erläutern wir detailliert unsere Vorgehensweise zur Identifikation dieser Schwachstellen und stellen die technischen Aspekte der von uns entdeckten Lücken im Detail vor. Im ersten Teil des Vortrags zeigen wir, wie wir mittels COM-Hijacking in der Lage waren, Code im Kontext der geschützten Frontend-Prozesse auszuführen. Im zweiten Teil analysieren wir die Kommunikationsmechanismen zwischen Frontend und Backend und legen offen, wie wir diese Vertrauensverbindung kompromittieren konnten. Abschließend erklären wir verschiedene Techniken, die es uns ermöglichte, unsere Privilegien auf Systemebene erfolgreich zu erweitern und diskutieren Gegenmaßnahmen die ähnliche Schwachstellen verhindern könnten.
Kolja Grassmann, Alain Rödel
https://events.ccc.de/congress/2024/hub/event/der-schlssel-zur-compromittierung-local-privilege-escalation-schwachstellen-in-av-edrs/
#38c3
Licensed to the public under http://creativecommons.org/licenses/by/4.0
- Catégories
- Augmentez votre business avec système.io
- Mots-clés
- 2024, 38C3, 38c3
Ajouter un commentaire
Up Next
Autoplay
-
43:18
38C3 fra - Der Milliarden-Steuerraub Cum/Ex – wie schädlich ist Wirtschaftskriminalität für unsere G
-
01:00
DIY: Von der Glasflasche zur trendigen Vase
-
00:24
"Der Löwe, der nicht schreiben konnte!" - das Familienmusical im Le Théâtre, Emmen.
-
01:36
Prestige Der Meister Der Magie - Trailer (Deutsch)
-
03:12
Trailer | Der fliegende Holländer an der Staatsoper Hamburg
-
05:01
Bryan.G - Les Couleurs De L'amour
-
06:07
Cours De Guitare - Gipsy Kings : Bamboleo (2/8) Rythmique
-
04:45
Démonstration De Fleurs Réalisées à La Peinture à L'huile Et Au Couteau, Par Catherine VICTOIRE
-
01:14
Générique TARATATA (Musique Composée Par Jean-Jacques Goldman)
-
04:12
Run Away With Me by Section C
Chargement...
Commentaires