Русский / Russian English / Английский

Сейчас на форуме: zds, soft (+5 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Крэки, обсуждения —› Состояние безопасности Win32k - MSRC
Посл.ответ Сообщение


Ранг: 603.8 (!)
Статус: Модератор
Research & Development

Создано: 6 ноября 2018 05:12 New!
Цитата · Личное сообщение · #1

Презентация "State of Win32k Security. Revisiting Insecure Design"

Автор: Vishal Chauhan (@axsdnied)
Microsoft Security Response Center (MSRC) Engineering Lead

Презентация интересна самокритикой Microsoft и путями поиска решений.

Презентация по ссылке:
--> 2018_10_DerbyCon_State_of _Win32k_Security.pptx <--

Ссылки

Win32k Internals
http://pasotech.altervista.org/windows_internals/Win32KSYS.pdf

Win32k Modern Exploits
https://www.blackhat.com/docs/us-17/wednesday/us-17-Schenk-Taking-Windows-10-Kernel-Exploitation-To-The-Next-Level%E2%80%93Leveraging-Write-What-Where-Vulnerabilities-In-Creators-Update.pdf

Desktop Heap
https://blogs.msdn.microsoft.com/ntdebugging/2007/01/04/desktop-heap-overview/

Usermode Callbacks and there exploits
https://media.blackhat.com/bh-us-11/Mandt/BH_US_11_Mandt_win32k_WP.pdf

Win32k Syscall Filtering
https://improsec.com/blog/win32k-system-call-filtering-deep-dive

Windows 10 Segment Heap Internals
https://www.blackhat.com/docs/us-16/materials/us-16-Yason-Windows-10-Segment-Heap-Internals-wp.pdf

Ранг: 138.0 (ветеран)
Статус: Участник

Создано: 6 ноября 2018 07:10 New!
Цитата · Личное сообщение · #2

Насчет последнего нововведения с переделкой SHAREDINFO - No app compatibility issues. Ну так то оно может и так, но все пограмулины которые листали оконные хуки, опираясь на эти андок структуры через gSharedInfo сдохли by design. Причем по-моему это случилось еще в RS3. Также в презентухе не отражен минипатчгард в вин32к, появившийся в RS1 (bugcheck 0x197 - win32k security failure).


Ранг: 322.3 (мудрец)
Статус: Участник

Создано: 7 ноября 2018 21:26 New!
Цитата · Личное сообщение · #3

Какие то мелкие описания нескольких ошибок в ядре. Да и презентация какая то сомнительная. Какие то поверхностные измышления. Большие изменения архитектуры не проходят каждый четверг. Это новая версия ОС. И врядле архитекторы задачи по оп будут решать таким мелким фиксом, причём который не имеет совместимости. Они реализуют очередной слой контроля, подобно как было с RFG(софтверный стек). Архитектура будет неизменна, но их надстройка будет детектить опасный тип событий.
 eXeL@B —› Крэки, обсуждения —› Состояние безопасности Win32k - MSRC

Видеокурс ВЗЛОМ