Материалы
16 - 17 ноября 2017
|
Москва, КЦ ЗИЛ
16 ноября

Использование GDI для запуска вредоносного кода в примитивах ring0: Перезагрузка

Track 1

Эволюция современных техник использования ядра Windows для атак заставляет поставщиков прилагать огромные усилия для обеспечения защиты ПО от эксплойтов, в том числе применяя песочницы в Chrome, Edge, Firefox и последних версиях Office.

В то же время, Microsoft усилила свои попытки защитить ядро Windows и, в частности, ядро Windows 10, добавляя важные средства защиты от эксплойтов в каждую новую версию (наиболее полно в Anniversary и Creators Update). В 2015 году в результате известного инцидента с Hacking Team произошла утечка эксплойтов ядра с новыми техниками использования объектов GDI, о которых подробно рассказано в первом докладе «Использование GDI для запуска вредоносного кода в примитивах ring0».

С появлением Windows 10 Anniversary Update (RS1) часть этой технологии была нейтрализована. Спустя год, во второй версии того же доклада, были представлены новые техники для использования объектов GDI. В апреле этого года с выходом Windows 10 Creators Update (RS2) была нейтрализована еще одна часть этой техники. Несмотря на попытки Microsoft устранить уязвимость, последние техники использования объектов GDI остаются такими же эффективными, как в предыдущих версиях до Anniversary Update (RS1).

В новой презентации я расскажу о надежном способе запуска кода в Windows 10 Fall Creators Update при помощи этих техник. В конце я продемонстрирую, как выбраться из песочницы Microsoft Edge, используя описанные техники.

Регистрация

Перейти к заказу билетов

Как добраться?

Москва, Культурный Центр ЗИЛ