Para visualizar el sitio de manera óptima actualice el navegador. ×

AFL, QBDI And KSE Are on a Boat...

El kernel de Windows es un tema de investigación poular. De cualquier manera, en detalles, no todos lo componentes reciben la misma cantidad de atención aunque algunos están posicionados en una situación interesante desde le punto de vista de la investigación de vulnerabilidades. Entre estos mecanismos menos estudiados se esconde el Kernel Shim Engine (KSE). El KSE es una característica que asegura la compatibilidad de un módulo kernel con el sistema. De hecho, orquestar redirecciones de flujo de ejecución cuando un API actualizado pueda causar algún problema con el módulo. Aunque Microsoft tiende a endurecer el acceso a espacios privilegiados como el kernel, el KSE permite aún así habilitar hookings legítimos y modificaciones en el comportamiento de un driver sin invalidar su firma o impulsar mecanismos de protección. Desde un punto de vista ofensivo, lo que lo hace aún más seductor, es que es cargado mucho antes al momento de arranque, por lo que puede influenciar nuevos vectores de persistencia. Desafortunadamente, el fuzzing en este tipo de componentes es poco conveniente ya que el ambiente en su totalidad no está diseñado para ejecutar rápidamente casos de evaluación y tiende a ponerse bastante inestable. El enfoque que implementamos superó estas viscicitudes al precio de muchos dolores de cabeza y anécdotas divertidas. El camino poco común que tomamos es mover el componente kernel de Windows al usuario Linux para confundirlo con AFL y un DBI. Nuestra charla dará devoluciones y resaltará cuestiones que un ingresante podría encontrase al jugar con fuzzers, DBIs y kernels.

Sobre Gabrielle Viala

Gabrielle Viala es una ingeniera en seguridad en Quarkslab enfocada en internas de Windows. Luego de trabajar como pentester por varios años, se cambió a la ingeniería reversa, donde encontró un tema de gran interés – el Windows Kernel. Es parte de Blackhoodie desde su primer edición y pertenece al staff. También contribuye como speaker y trainer en, no solo Blackhoodie, sino también otros eventos relacionados a la seguridad. Si bien aún está lejos de ser una experta, trabaja duro para mostrarle a los ingresantes que jugar con kerneles puede ser, de hecho, bastante divertido.