Postée le 18/12/2010 par Heurs
Il y a de cela 6 mois je me suis dit "tiens, il se dit que les attaques de type shatter attack ne sont plus d'actualité sur windows 7... Comme d'habitude la confiance n'exclue pas le contrôle, alors c'est parti on sort devcpp et on se code un fuzzer, le but est d'attaquer les fenêtres SYSTEM, bien entendu. Toka7a propose de porter mon code C en python et d'y implémenter quelques paterns, on se met d'accord sur les grandes lignes et hop, il se met à coder comme un chinois. Franchement bon boulot son fuzzer, plus complet et plus propre que le mien (ca m'apprendra à coder comme un porc).
Il le lance sur son PC (win7) et bOOm un beau BSOD. Il faut savoir que son labtop était à jour. Bon je mets une VM win7 en débug et goto fuzz mouahahaha ! Un sendmessage particulier génère l'exception. Après analyse il s'avère qu'on peu écrire un octet à 0 à un endroit arbitraire (ou presque) dans le userland. Pas très cool vu comme ca, mais le processus qui crash n'est pas le notre, c'est CSRSS.exe, donc élévation de privilège possible. Bon sincèrement l'exploitation est hard core, je vous invites à essayer sur aimer avoir mal à la tête ;-)
Enfin au final ca fait quand même un vuln MS, à oui le module kernel qui déref est win32k.sys. Donc sympa quand même, vous pouvez retrouver l'adviso sur exploit-db si ca vous dit d'essayer.
Sur ce bonne vacances, joyeux noël et à bientôt pour de nouvelles aventures ! (Ghosts in the stack risque de passer la main à un groupe plus jeune d'ici quelques semaines, si vous êtes intéressés maillez nous : heurs at ghostsinthestack.org , une seule personne sera accepter donc épreuve de poteaux pour vous départager).
