Скачать или смотреть Moritz Jodeit - Look Mom, I don't use Shellcode: Browser Exploitation for IE 11 - Ekoparty 2016

Look Mom, I don't use Shellcode: Browser Exploitation for IE 11- Moritz Jodeit

La última versión de Internet Explorer 11 se ejecuta en Windows 10 viene con una plétora de explotar las mitigaciones que tratan de poner palos en la rueda de un atacante. Aunque Microsoft introdujo recientemente su nuevo navegador Edge, cuando se trata de explotar las mitigaciones muchas de las medidas de mitigación que se encuentran en Edge también están presentes en la versión más reciente de Internet Explorer 11. El objetivo de estas mitigaciones es hacer el desarrollo de exploits tan duro y costoso como sea posible. Algunos mitigaciones que por lo general hay que superar son ASLR, DEP, CFG, Isolated Heap y Memory Protector por nombrar sólo unos pocos. Si se las arregló para bypassear todos estos y lograste utilizar el bug en un codigo remoto de ejecucion, vas a estar atrapado dentro de una sandbox de la cual es necesario salir. Esto podría requerir incluso más errores y, en el caso de una vulnerabilidad del kernel vas a confrontar a todas las mitigaciones de exploit de kernel como Kernel DEP, KASLR, SMEP, puntero NULL Protección Desreferencia y así sucesivamente. Si a continuación, apuntas al desarrollo de un exploit que continua funcionando bajo la presencia del Microsoft´s Enhanced Mitigation Experience Toolkit (EMET) las cosas se ponen aún más interesantes. Aunque todo esto puede hacer que el proceso de desarrollo del exploit sea realmente duro, con la vulnerabilidad correcta a mano sigue siendo posible el desarrollo de exploits de trabajo sin preocuparse demasiado acerca de la mayoría de estas mitigaciones. Esto es particularmente cierto si no haces la ruta estándar de ROPing en tu shellcode, pero volves a utilizar la funcionalidad existente dentro del propio navegador para ejecución remota de código. En esta presentación se describen todos los detalles sobre nuestra presentación en el programa Microsoft Mitigation Bypass Bounty en el que fuimos galardonados con el Premio Recompensa más alto de $ 100,000 USD. Vamos a presentar todas las técnicas que utilizamos para escribir un exploit estable para IE 11 (de 64 bits) que se ejecuta en Windows 10, que incluye un Modo (EPM) de escape mejorado de una sandbox y una forma genérica de pasar por alto la última versión del EMET 5.5 tambien. Vamos a empezar por hablar de una vulnerabilidad que hemos identificado en la implementación de JavaScript de Internet Explorer 11 y ver cómo convertimos la vulnerabilidad inicial en una completa memoria de lectura / escritura primitiva mediante la explotacion del custom heap allocator de IE. Posteriormente vamos a presentar una técnica que usamos para eludir Control Flow Guard (CFG) para obtener la ejecución de código inicial dentro de la sandbox. Vamos a hablar de nuestra línea de pensamiento (y algunos fallos) al tratar de encontrar una manera de escapar de la sandbox EPM y finalmente presentar una vulnerabilidad puramente basado en la lógica que permitió con éxito que podamos escapar de la sandbox. Por último vamos a mostrar una forma genérica que nos permitió puenteamos con éxito la última versión EMET dentro de nuestro exploit. No hay shellcode o ROP gadgets que se hayan utilizado en todo el exploit. Vamos a hablar de los beneficios de los ataques solo de data, echar un vistazo rápido a cómo Microsoft arregla o mitiga las vulnerabilidades y técnicas reportadas y, finalmente, concluir con algunas posibilidades futuras de ataques similares en IE 11 y otros navegadores.

Sobre Moritz Jodeit

Moritz Jodeit es el director de investigación de Frost azul Security GmbH. Él tiene un fuerte enfoque en la seguridad de las aplicaciones y sus principales áreas de interés son la investigación de vulnerabilidades, la ingeniería inversa y la explotación de software. Moritz Jodeit presentó los resultados de su investigación en las conferencias internacionales de seguridad como Sombrero Negro Europa, HITB GSEC, 44CON, DeepSec o OWASP AppSec. Recientemente fue galardonado con $ 100.000 dólares por su presentación con el programa Microsoft Mitigación Bypass Bounty.


#eko12 - 2016