Презентация "State of Win32k Security. Revisiting Insecure Design"

Автор: Vishal Chauhan (@axsdnied)
Microsoft Security Response Center (MSRC) Engineering Lead

Презентация интересна самокритикой Microsoft и путями поиска решений.

Презентация по ссылке:
--> 2018_10_DerbyCon_State_of _Win32k_Security.pptx <--

Ссылки

Win32k Internals
http://pasotech.altervista.org/windows_internals/Win32KSYS.pdf

Win32k Modern Exploits
https://www.blackhat.com/docs/us-17/wednesday/us-17-Schenk-Taking-Windows-10-Kernel-Exploitation-To-The-Next-Level%E2%80%93Leveraging-Write-What-Where-Vulnerabilities-In-Creators-Update.pdf

Desktop Heap
https://blogs.msdn.microsoft.com/ntdebugging/2007/01/04/desktop-heap-overview/

Usermode Callbacks and there exploits
https://media.blackhat.com/bh-us-11/Mandt/BH_US_11_Mandt_win32k_WP.pdf

Win32k Syscall Filtering
https://improsec.com/blog/win32k-system-call-filtering-deep-dive

Windows 10 Segment Heap Internals
https://www.blackhat.com/docs/us-16/materials/us-16-Yason-Windows-10-Segment-Heap-Internals-wp.pdf

-----
EnJoy!

| Сообщение посчитали полезным:

Насчет последнего нововведения с переделкой SHAREDINFO - No app compatibility issues. Ну так то оно может и так, но все пограмулины которые листали оконные хуки, опираясь на эти андок структуры через gSharedInfo сдохли by design. Причем по-моему это случилось еще в RS3. Также в презентухе не отражен минипатчгард в вин32к, появившийся в RS1 (bugcheck 0x197 - win32k security failure).

| Сообщение посчитали полезным:

Какие то мелкие описания нескольких ошибок в ядре. Да и презентация какая то сомнительная. Какие то поверхностные измышления. Большие изменения архитектуры не проходят каждый четверг. Это новая версия ОС. И врядле архитекторы задачи по оп будут решать таким мелким фиксом, причём который не имеет совместимости. Они реализуют очередной слой контроля, подобно как было с RFG(софтверный стек). Архитектура будет неизменна, но их надстройка будет детектить опасный тип событий.

-----
vx

| Сообщение посчитали полезным: