Сейчас на форуме: vsv1, NIKOLA, r0lka, johnniewalker (+5 невидимых)

 [email protected] —› Крэки, обсуждения —› Состояние безопасности Win32k - MSRC
Посл.ответ Сообщение


Ранг: 605.2 (!), 341thx
Активность: 0.470.25
Статус: Модератор
Research & Development

Создано: 06 ноября 2018 05:12
· Личное сообщение · #1

Презентация "State of Win32k Security. Revisiting Insecure Design"

Автор: Vishal Chauhan (@axsdnied)
Microsoft Security Response Center (MSRC) Engineering Lead

Презентация интересна самокритикой Microsoft и путями поиска решений.

Презентация по ссылке:
--> 2018_10_DerbyCon_State_of _Win32k_Security.pptx <--

Ссылки

Win32k Internals
http://pasotech.altervista.org/windows_internals/Win32KSYS.pdf

Win32k Modern Exploits
https://www.blackhat.com/docs/us-17/wednesday/us-17-Schenk-Taking-Windows-10-Kernel-Exploitation-To-The-Next-Level%E2%80%93Leveraging-Write-What-Where-Vulnerabilities-In-Creators-Update.pdf

Desktop Heap
https://blogs.msdn.microsoft.com/ntdebugging/2007/01/04/desktop-heap-overview/

Usermode Callbacks and there exploits
https://media.blackhat.com/bh-us-11/Mandt/BH_US_11_Mandt_win32k_WP.pdf

Win32k Syscall Filtering
https://improsec.com/blog/win32k-system-call-filtering-deep-dive

Windows 10 Segment Heap Internals
https://www.blackhat.com/docs/us-16/materials/us-16-Yason-Windows-10-Segment-Heap-Internals-wp.pdf

-----
EnJoy!




Ранг: 145.8 (ветеран), 190thx
Активность: 0.140.36
Статус: Участник

Создано: 06 ноября 2018 07:10
· Личное сообщение · #2

Насчет последнего нововведения с переделкой SHAREDINFO - No app compatibility issues. Ну так то оно может и так, но все пограмулины которые листали оконные хуки, опираясь на эти андок структуры через gSharedInfo сдохли by design. Причем по-моему это случилось еще в RS3. Также в презентухе не отражен минипатчгард в вин32к, появившийся в RS1 (bugcheck 0x197 - win32k security failure).




Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 07 ноября 2018 21:26
· Личное сообщение · #3

Какие то мелкие описания нескольких ошибок в ядре. Да и презентация какая то сомнительная. Какие то поверхностные измышления. Большие изменения архитектуры не проходят каждый четверг. Это новая версия ОС. И врядле архитекторы задачи по оп будут решать таким мелким фиксом, причём который не имеет совместимости. Они реализуют очередной слой контроля, подобно как было с RFG(софтверный стек). Архитектура будет неизменна, но их надстройка будет детектить опасный тип событий.

-----
vx



 [email protected] —› Крэки, обсуждения —› Состояние безопасности Win32k - MSRC
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати