Techniques PreviousMode & NtQuerySystemInformation

weaver · 20.05.2023

[PHDays 2023] 0-day-эксплойты рансомварщиков (Windows OS)

youtu.be/qcfIBkBt58k?t=20236

varwar · 20.05.2023

Если действительно требуется полная переустановка винды для включения новых митигейшенов с PreviousMode, NtQuerySystemInformation, то пляшем.

mirnoe_vedro · 20.05.2023

интересно, надо будет полностью глянуть видос.

weaver · 21.05.2023

mirnoe_vedro сказал(а):

интересно, надо будет полностью глянуть видос.

раздел изначально предполагает, что нельзя ничего скипать, а надо всё от и до смотреть))

https://downloads.immunityinc.com/infiltrate-archives/kernelpool_infiltrate2011.pdf

CVE-2018-8611 Exploiting Windows KTM Part 1/5 – Introduction

The first of five blog posts exploring the detailed exploitation of CVE-2018-8611.

research.nccgroup.com

Wayback Machine

presentations/2019-02-Overview of the latest Windows OS kernel exploits found in the wild.pdf at master · oct0xor/presentations

Collection of my slide decks. Contribute to oct0xor/presentations development by creating an account on GitHub.

github.com

varwar · 21.05.2023

weaver сказал(а):

The first of five blog posts exploring the detailed exploitation of CVE-2018-8611.

От автора этого ресерча на базе этой же уязвимости скоро выйдет бесплатный курс на OST2. Пока он в бете, но 1 июня должен выйти для всех.

WellDone · 21.05.2023

varwar сказал(а):

От автора этого ресерча на базе этой же уязвимости скоро выйдет бесплатный курс на OST2. Пока он в бете, но 1 июня должен выйти для всех.

так он в конце говорит что обе техники эксплуатации прикрыли
Какой-то странный курс или я чето не так понял

varwar · 21.05.2023

WellDone сказал(а):

Какой-то странный курс или я чето не так понял

Пока ничего не могу сказать о странности курса, т.к. еще не приступал, но с циклом статей и работой Седрика знаком. То, что все будет происходить на Windows 7 - это большой минус с точки зрения работы пула (они принципиально разные в Windows 7 и Windows 10-11, т.е. техники с феншуем пула будут отличаться), но он объяснял почему это так сделано в рамках подготовительного курса по ядерному отладчику, который я проходил (проще реверсить KTM, т.к. он раньше весь был в ядре, а не выделен в отдельный драйвер tm.sys). Т.е. новичкам проще и быстрее будет сориентироваться, ибо в tm.sys много вызовов из ntoskrnl.exe. Кому надо может это сделать и под 10ку, но сразу скажу, что держать паралельно две базы ntoskrnl.exe, tm.sys и отслеживать data flow в статике неудобно. Также интересна методология работы топов. Вообще в паблике не так много курсов по экспдеву от действующих экспдевов по профессии, а не инфоцыган.

WellDone сказал(а):

так он в конце говорит что обе техники эксплуатации прикрыли

Прикрыли PreviousMode, но с оговоркой. На NtQuerySystemInformation наложены ограничения работы под High Integriti Level. Т.е. ликать адреса по-прежнему можно, но от админа. Или про какие вы техники.

weaver · 21.05.2023

Я видел, что nccgroup планирует запустить курс по эксплуатации ядра винды на платформе ost2. Но я не видел, что в нем будет, но судя по скриншоту varwar, там тоже самое что на сайте nccgroup

https://www.nccgroup.com/us/training/

This course shows how to attack the Windows kernel. The course will teach you about the Windows kernel internals with labs that will provide you real-world experience in how to exploit kernel vulnerabilities.

This class focuses on exploiting CVE-2018- 8611 on Windows 10 x64 1809 (RS5), a fairly complex race condition that leads to a use-after-free on the non-paged kernel pool. The vulnerability is in the Kernel Transaction Manager (KTM) driver (tm. sys), a kernel component that has not received much public scrutiny.

You should take this course if:

NCC Group’s Windows Kernel Exploitation training is for reverse engineers, exploit developers, and bug hunters who wish to learn a structured and reusable approach to attacking an unknown component in the Windows kernel.

coree · 21.05.2023

Оффтоп, но блин... Я должен был тоже выступать на пхд, но здоровье подвело! Так обидно если честно, докладов столько интересных было, особенно хотел вживую увидеть этот доклад) Все же просмотр видео это не то

varwar · 21.05.2023

coree сказал(а):

Я должен был тоже выступать на пхд

В "Наливайке"?

coree · 21.05.2023

Не-не-не, как почти полноценный спикер!
Странно видеть такой сарказм...

mirnoe_vedro · 21.05.2023

weaver сказал(а):

раздел изначально предполагает, что нельзя ничего скипать, а надо всё от и до смотреть))

Посмотреть вложение 57043

https://downloads.immunityinc.com/infiltrate-archives/kernelpool_infiltrate2011.pdf

CVE-2018-8611 Exploiting Windows KTM Part 1/5 – Introduction

The first of five blog posts exploring the detailed exploitation of CVE-2018-8611.

research.nccgroup.com

Wayback Machine

presentations/2019-02-Overview of the latest Windows OS kernel exploits found in the wild.pdf at master · oct0xor/presentations

Collection of my slide decks. Contribute to oct0xor/presentations development by creating an account on GitHub.

github.com

ля ты красава, спасибо))))))))

weaver · 25.09.2024

Более подробнее можно почитать на securelist

Весь процесс эксплуатации на основе двух этих техник выглядит следующим образом:

С помощью техники NtQuerySystemInformation эксплойт получает адрес флага PreviousMode для текущего потока.

Получает адреса токенов текущих и системных процессов посредством той же техники.

Получает адрес функции ClfsSetEndOfLog посредством той же техники. Это функция «пустышка», которая предотвращает вывод исключения дальнейшим кодом.

Выделяет буфер по адресу 0x40000000.

Размещает в выделенном буфере необходимые данные с соответствующими относительными адресами.

Задействует уязвимость и уменьшает значение флага PreviousMode с 1 до 0.

Использует функции NtReadVirtualMemory/NtWriteVirtualMemory, чтобы перезаписать токен и получить системные привилегии.

Часть 1. Драйвер Windows CLFS и пять эксплойтов операторов шифровальщиков
Часть 2. Драйвер Windows CLFS и пять эксплойтов операторов шифровальщиков (№ 1: CVE-2022-24521)
Часть 3. Драйвер Windows CLFS и пять эксплойтов операторов шифровальщиков (№ 2, сентябрь 2022 г.)
Часть 4. Драйвер Windows CLFS и пять эксплойтов операторов шифровальщиков (№ 3, октябрь 2022 г.)
Часть 5. Драйвер Windows CLFS и пять эксплойтов операторов шифровальщиков (№ 4: CVE-2023-23376)
Часть 6. Драйвер Windows CLFS и пять эксплойтов операторов шифровальщиков (№ 5: CVE-2023-28252)

Techniques PreviousMode & NtQuerySystemInformation

weaver

31 c0 bb ea 1b e6 77 66 b8 88 13 50 ff d3

varwar

El Diff

mirnoe_vedro

HDD-drive

weaver

31 c0 bb ea 1b e6 77 66 b8 88 13 50 ff d3

CVE-2018-8611 Exploiting Windows KTM Part 1/5 – Introduction

presentations/2019-02-Overview of the latest Windows OS kernel exploits found in the wild.pdf at master · oct0xor/presentations

varwar

El Diff

WellDone

(L3) cache

varwar

El Diff

weaver

31 c0 bb ea 1b e6 77 66 b8 88 13 50 ff d3

coree

(L2) cache

varwar

El Diff

coree

(L2) cache

mirnoe_vedro

HDD-drive

CVE-2018-8611 Exploiting Windows KTM Part 1/5 – Introduction

presentations/2019-02-Overview of the latest Windows OS kernel exploits found in the wild.pdf at master · oct0xor/presentations

weaver

31 c0 bb ea 1b e6 77 66 b8 88 13 50 ff d3