{"id":442,"date":"2007-12-29T23:44:44","date_gmt":"2007-12-29T21:44:44","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/442-24c3-from-ring-0-to-uid-0"},"modified":"2018-05-22T22:35:24","modified_gmt":"2018-05-22T21:35:24","slug":"24c3-from-ring-0-to-uid-0","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/442-24c3-from-ring-0-to-uid-0","title":{"rendered":"24C3: From Ring 0 to UID 0"},"content":{"rendered":"

Ich habe mir unter diesem Titel zwar etwas anderes vorgestellt aber insgesamt war ich von den beiden Italienern<\/a> positiv \u00fcberrascht.<\/p>\n

Insbesondere der erste Teil von Twix war richtig gut. Er hat eine M\u00f6glichkeit gefunden in Solaris 8, 9 und 10 verl\u00e4sslich Kernel-Sicherheitsl\u00fccken mit Hilfe von Exploits auszunutzen. Die Idee von ihm basiert darauf, 80 Byte mit psargs in die vom Kernel verwaltete Prozesstabelle zu schleusen, die im Gegensatz zum Stack ausf\u00fchrbar ist. Damit lassen sich etwa 19 Befehle, durch Chaining mit mehreren Prozessen sogar komplexere Exploits ausf\u00fchren. Seine Methode funktioniert grunds\u00e4tzlich zuverl\u00e4ssig mit allen Kernelexploits die den Stack nicht ver\u00e4ndern, andernfalls muss man den Stackzustand manuell wieder herstellen, damit der Kernel nicht abst\u00fcrzt.<\/p>\n

Im zweiten Teil hat sgrakkyu sich mit Windows Race Conditions besch\u00e4ftigt, insbesondere Kernel Races. Ein Thema sind Programme wie Windows Firewalls oder Virenscanner die sich mittels Kernel Space Hooking in das System einklinken. Das ist jedoch ein fehlerhaftes Design, da eine TOCTOU<\/a>-Race Condition vorliegt.<\/p>\n

Zu einem Zeitpunkt A findet der Hook statt und der Virenscanner pr\u00fcft die \u00fcbergebenen Daten. Zu einem sp\u00e4teren Zeitpunkt B findet der R\u00fccksprung auf die echte API statt und die Windows-Funktion wird ausgef\u00fchrt. Allerdings ist es unter bestimmten Umst\u00e4nden m\u00f6glich, zwischen A und B die untersuchten Daten zu ver\u00e4ndern.<\/p>\n

Der Vortrag war sehr sehr technisch, ich habe vermutlich h\u00f6chstens die H\u00e4lfte verstanden. Es lohnt sich jedoch, in den Phrack-Artikel<\/a> der beiden reinzukucken. Einer der l\u00e4ngsten die ich je gesehen habe. In dieser Qualit\u00e4t und auf diesem Niveau waren bisher nur die beiden Vortr\u00e4ge zum Barcode-Hacking<\/a> und zu Mifare<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

Ich habe mir unter diesem Titel zwar etwas anderes vorgestellt aber insgesamt war ich von den beiden Italienern positiv \u00fcberrascht. Insbesondere der erste Teil von Twix war richtig gut. Er hat eine M\u00f6glichkeit gefunden in Solaris 8, 9 und 10 verl\u00e4sslich Kernel-Sicherheitsl\u00fccken mit Hilfe von Exploits auszunutzen. Die Idee von ihm basiert darauf, 80 Byte […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[13,8],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/442"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=442"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/442\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=442"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=442"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=442"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}