Скачать презентацию
Идет загрузка презентации. Пожалуйста, подождите
Презентация была опубликована 10 лет назад пользователемНадежда Петюшкина
1 Embedded FontApocalypse: MS Никита Тараканов
2 First of All Я не связан ни с одной АВ компанией У меня не было, нету оригинального семлпа, который используется Duqu Методы тестирования АВ продуктов могут быть некорректными
3 Небольшой ЛикБез TTF – TrueType – win32k.sys OTF – OpenType – atmfd.dll
4 Хронология уязвимостей MS – CFF memory Corruption MS – OTF Parsing (2 vulns) MS – OTF Parsing (3 vulns) MS – OTF Encoded Char vuln MS – OTF Parsing
5 Хронология уязвимостей MS – EOT Parsing MS – TTF Parsing MS – OTF(?) Validation MS – TTF,FON vulns MS – DoS in TTF Interpreter MS – TTF sbit integer vulns
6 MS11-087(Duqu vuln)
7 TrueType Bitmap glyphs EBLC – info about indexes(position) of bitmap data EBDT – actual bitmap data EBSC – info about scaling
8 TrueType Assembler! Over 100 instructions Implemented in kernel(!!!) land Vulns were discovered(MS11-084) Itrp_XXX – example: itrp_PUSHB Instructions in cvt table and fpgm
9 TrueType Assembler
14 GetSbitComponent One parameter is TTF interpreter context Integer overflow leads to kernel pool corruption Corrupts TTF interpreter context! This leads to full pwn at r0(!!!) remotely
15 Lame lame cybercriminals The guys behind Duqu has failed to exploit this vuln on x64 systems! Actually, its real hardcore: you have to implement ROP program in TTF assembler TODO: go pwn x64, crack your brain!
16 MS attack vectors TTF – good for Vista/2k8/7/8 DOC – Duqu attack vector DOCX – same as DOC, but OOXML IE – drive by download scenario LPE – no comments…
17 AV/HIPS vs MS TTF vector detection: Avast,avira,bitdefender,bullguard,escan,gdata,k7,kl,lavasoft,rising,trustport,vipre,zonealarm LPE: FAIL, FAIL, FAIL! Even with MPAA info some AV FAILED to detect mine PoC
18 MS Easter Egg
19 Kernel Attack Surface Interrrupts Syscalls
20 Interrupts Exceptions Interrupt transitions NTVDM
21 Syscalls Ntoskrnl.exe Win32k.sys
Еще похожие презентации в нашем архиве:
© 2024 MyShared Inc.
All rights reserved.