Der Schlüssel zur COMpromittierung: Local Privilege Escalation Schwachstellen in AV/EDRs
December 28, 2024
4:00 PM – 5:00 PM Add to calendar
4:00 PM – 5:00 PM Add to calendar
Stage YELL
Im vergangenen Jahr wurden von uns in fünf kritische Schwachstellen in Endpoint Protection Software entdeckt, die es uns ermöglichen, auf Basis von COM-Hijacking unsere Privilegien auf Windows-Endpunkten zu erweitern. In diesem Vortrag demonstrieren wir, wie COM-Hijacking genutzt werden kann, um Code im Kontext geschützter Frontend-Prozesse auszuführen. Zudem zeigen wir auf, wie COM Hijacking das Vertrauensverhältnis zwischen geschützten Frontend-Prozessen und Backend-Diensten aushebelt um höhere Privilegien (Local Privilege Escalation) auf Systemen zu erhalten. Des Weiteren erklären wir unsere Methodik und Vorgehensweise um solche Schwachstellen zu finden und auszunutzen. Abschließend enthüllen wir Details zu den von uns gefundenen Schwachstellen und diskutieren mögliche Gegenmaßnahmen.
COM-Hijacking ist vor allem als Technik bekannt, um auf Windows-Endpunkten Persistenz zu erreichen. In diesem Vortrag stellen wir jedoch eine weniger bekannte, aber äußerst wirkungsvolle Anwendung vor: Wir haben COM-Hijacking eingesetzt, um Code in die geschützten Frontend-Prozesse von Sicherheitsprodukten einzuschleusen. Dadurch konnten wir die Vertrauensbeziehung zwischen diesen Prozessen und den privilegierten Backends ausnutzen und hohe Privilegien auf dem Endpunkt erlangen.
In unserem Vortrag erläutern wir detailliert unsere Vorgehensweise zur Identifikation dieser Schwachstellen und stellen die technischen Aspekte der von uns entdeckten Lücken im Detail vor. Im ersten Teil des Vortrags zeigen wir, wie wir mittels COM-Hijacking in der Lage waren, Code im Kontext der geschützten Frontend-Prozesse auszuführen. Im zweiten Teil analysieren wir die Kommunikationsmechanismen zwischen Frontend und Backend und legen offen, wie wir diese Vertrauensverbindung kompromittieren konnten. Abschließend erklären wir verschiedene Techniken, die es uns ermöglichte, unsere Privilegien auf Systemebene erfolgreich zu erweitern und diskutieren Gegenmaßnahmen die ähnliche Schwachstellen verhindern könnten.
Additional information
| Live Stream | https://streaming.media.ccc.de/38c3/yell |
|---|---|
| Type | Talk 60 (45min +15 Q&A) |
| Language | German |
More sessions
| 12/27/24 |
This talk announces the first public release of sixos, a two year project to create a nixpkgs-based operating system using skarnet's s6 supervisor instead of systemd.
|
| 12/27/24 |
Capture The Flag (CTF) für Einsteiger: Wie man legal "hacken" ueben kann, warum man das tun sollte und wo man anfaengt.
|
| 12/27/24 |
Das Duo 'read & delete' präsentiert radikale philosophische Texte mit musikalischer Begleitung
|
| 12/27/24 |
A field guide to dumping and reverse engineering a bare-metal U-Boot binary, including all the good stuff like funky hardware setups, UART logs, a locked bootloader and unknown base addresses.
|
| 12/27/24 |
Das Netzwerk Polylux hat sich vor 5 Jahren gegründet um dem Rechtsruck in Ostdeutschland etwas entgegen zu setzen. Polylux fördert, was die AfD hasst. Solidarisch, Unbürokratisch und Antifaschistisch. Für eine kritische und starke Zivilgesellschaft wo es sie am meisten braucht: Im ländlichen Raum in Ostdeutschland.
|
| 12/27/24 |
In einer Zeit, in der Privatsphäre immer mehr untergraben wird – warum nicht die Kontrolle über deine Daten übernehmen und eine eigene Cloud für Filehosting aufbauen? Dieser Vortrag ist ein praktischer Leitfaden zum Selbsthosting von Nextcloud zu Hause, speziell gedacht für Einsteiger mit grundlegenden Linux- und Bash-Kenntnissen. Von der Wahl der passenden Hardware bis zur sicheren Internetanbindung bauen wir Schritt für Schritt eine selbst gehostete Filehosting-App im eigenen ...
|
| 12/28/24 |
Eine Vorstellung der Hackspaces
|
