Nieuws
image

Nederlander gaat Windows 7 beveiliging kraken

woensdag 24 maart 2010, 13:47 door Redactie, 18 reacties

De Nederlandse beveiligingsonderzoeker Peter Vreugdenhil heeft zeer waarschijnlijk een zero-day beveiligingslek in Internet Explorer 8 voor Windows 7, waarmee hij de Pwn2Own hackerwedstrijd gaat winnen. Vandaag begint de CanSecWest Conferentie in Vancouver, met als meest besproken onderdeel de Pwn2Own hackerwedstrijd. Onderzoekers zullen proberen Internet Explorer, Firefox, Google Chrome en Safari te kraken, alsmede verschillende smartphones. Als eerste is het de beurt aan IE, Firefox en Google Chrome op Windows 7, gevolgd door Windows Vista op dag twee en als laatste Windows XP. Safari zal alleen op Mac OS X Snow Leopard worden getest.

Vreugdenhil zegt dat hij een exploit heeft om twee beveiligingsmaatregelen van Windows 7, Data Execution Prevention (DEP) en Address Space Layout Randomization (ASLR) kan omzeilen. "Laten we hopen dat ASLR in Vancouver op dezelfde manier werkt als in Nederland", aldus de onderzoeker op Twitter. Inmiddels heeft hij ook een voortgangsbalk aan zijn exploit toegevoegd, met de tekst: "Please be patient while you are being exploited..."

Exploit
Vreugdenhil mag als vierde aan de slag met het hacken van de browser. Vorige week vond de loting plaats, zoals in onderstaande video is te zien. De Nederlandse onderzoeker heeft het rijk niet alleen. Eén van de Zero Day Initiative onderzoekers van TippingPoint, organisator van het evenement, zou ook over een indrukwekkende zero-day exploit voor Internet Explorer 8 beschikken. Het evenement loopt tot en met vrijdag.

Reacties (18)
24-03-2010, 13:55 door [Account Verwijderd]
[Verwijderd]
24-03-2010, 14:17 door SirDice
Vreugdenhil zegt dat hij een exploit heeft om twee beveiligingsmaatregelen van Windows 7, Data Execution Prevention (DEP) en Address Space Layout Randomization (ASLR) kan omzeilen. "Laten we hopen dat ASLR in Vancouver op dezelfde manier werkt als in Nederland", aldus de onderzoeker op Twitter.
Op een 32 bit OS is ASLR te "brute-forcen" vanwege het beperkte aantal bits.
24-03-2010, 14:37 door Anoniem
Door SirDice:
Vreugdenhil zegt dat hij een exploit heeft om twee beveiligingsmaatregelen van Windows 7, Data Execution Prevention (DEP) en Address Space Layout Randomization (ASLR) kan omzeilen. "Laten we hopen dat ASLR in Vancouver op dezelfde manier werkt als in Nederland", aldus de onderzoeker op Twitter.
Op een 32 bit OS is ASLR te "brute-forcen" vanwege het beperkte aantal bits.

Vanuit IE eigenlijk niet; een foute gok en het process zal crashen. Het is meer waarschijnlijk dat zijn exploit iets als JIT spraying doet. Of hij heeft zelf een methode gevonden om DEP + ASLR te omzeilen.
24-03-2010, 14:44 door Anoniem
Waarom voelt het alsof ik gerick-rolled ben...
24-03-2010, 15:46 door ej__
Door Peter V: Even ter informatie: Peter V (ik dus) is niet dezelfde persoon als Peter Vreugdenhil.

Jammer he? ;-)
24-03-2010, 16:00 door Anoniem
Jammer dat ze Opera niet testen..
24-03-2010, 16:13 door SirDice
Door Anoniem:
Door SirDice:
Vreugdenhil zegt dat hij een exploit heeft om twee beveiligingsmaatregelen van Windows 7, Data Execution Prevention (DEP) en Address Space Layout Randomization (ASLR) kan omzeilen. "Laten we hopen dat ASLR in Vancouver op dezelfde manier werkt als in Nederland", aldus de onderzoeker op Twitter.
Op een 32 bit OS is ASLR te "brute-forcen" vanwege het beperkte aantal bits.

Vanuit IE eigenlijk niet; een foute gok en het process zal crashen. Het is meer waarschijnlijk dat zijn exploit iets als JIT spraying doet. Of hij heeft zelf een methode gevonden om DEP + ASLR te omzeilen.
Je hoeft niet te gokken. Je zoekt namelijk naar de structuur die naar de library wijst. Dat is wat je 'brute-forced', de locatie van een library. Aangezien zo'n structuur bijna altijd dezelfde waarden bevat kun je vrij eenvoudig een complete range scannen opzoek naar deze 'markers'. Bij een 64 bit OS is het aantal mogelijke geheugenadressen te groot om het binnen een redelijke tijd te doen.

De code om naar die markers te zoeken is relatief klein en redelijk eenvoudig te implementeren.
24-03-2010, 16:58 door Anoniem

Nederlander gaat Windows 7 beveiliging kraken
Nederlander gaat Windows 7 kraken is feitelijk onjuist, Nederlander gaat IE8 kraken is de juiste titel.
24-03-2010, 18:50 door Rene V
Door Anoniem:

Nederlander gaat Windows 7 beveiliging kraken
Nederlander gaat Windows 7 kraken is feitelijk onjuist, Nederlander gaat IE8 kraken is de juiste titel.

nee, goed lezen. Er staat Windows 7 beveiliging kraken. DEP en ASLR zijn beveiligings maatregelen van het besturingssysteem zelf en niet van IE. Hij gebruikt IE 8 hierbij als een gereedschap.
24-03-2010, 20:50 door Anoniem

nee, goed lezen. Er staat Windows 7 beveiliging kraken. DEP en ASLR zijn beveiligings maatregelen van het besturingssysteem zelf en niet van IE. Hij gebruikt IE 8 hierbij als een gereedschap.
Ik heb IE8 helemaal niet geinstalleerd op Windows 7. Dus kom maar op!
24-03-2010, 20:53 door Anoniem
Ik neem aan dat het werkt op afstand, of gaat hij zelf achter de PC plaatsnemen?
Want met user-interactie kan namelijk iedereen het.
24-03-2010, 22:25 door Anoniem
en firefox op Linux????
dat zie ik nergens vermeldt
25-03-2010, 00:38 door Rene V
Door Anoniem:
Ik heb IE8 helemaal niet geinstalleerd op Windows 7. Dus kom maar op!

Ehm... was dat het punt? Wat jij nu zegt is niet relevant. Heb je ook geen Flash geinstalleerd dan?? Of Acrobat Reader? Geen Firefox of Chrome? Of dacht je dat er alleen maar exploits zijn voor IE?
25-03-2010, 12:31 door spatieman
Door Peter V: Even ter informatie: Peter V (ik dus) is niet dezelfde persoon als Peter Vreugdenhil.

Bewijs dat maar eens xD
25-03-2010, 15:51 door Anoniem
Heeft die pippo echt niets anders te doen?
Grow up man!
25-03-2010, 17:14 door Anoniem
Door SirDice:
Door Anoniem:
Door SirDice:
Vreugdenhil zegt dat hij een exploit heeft om twee beveiligingsmaatregelen van Windows 7, Data Execution Prevention (DEP) en Address Space Layout Randomization (ASLR) kan omzeilen. "Laten we hopen dat ASLR in Vancouver op dezelfde manier werkt als in Nederland", aldus de onderzoeker op Twitter.
Op een 32 bit OS is ASLR te "brute-forcen" vanwege het beperkte aantal bits.

Vanuit IE eigenlijk niet; een foute gok en het process zal crashen. Het is meer waarschijnlijk dat zijn exploit iets als JIT spraying doet. Of hij heeft zelf een methode gevonden om DEP + ASLR te omzeilen.
Je hoeft niet te gokken. Je zoekt namelijk naar de structuur die naar de library wijst. Dat is wat je 'brute-forced', de locatie van een library. Aangezien zo'n structuur bijna altijd dezelfde waarden bevat kun je vrij eenvoudig een complete range scannen opzoek naar deze 'markers'. Bij een 64 bit OS is het aantal mogelijke geheugenadressen te groot om het binnen een redelijke tijd te doen.

De code om naar die markers te zoeken is relatief klein en redelijk eenvoudig te implementeren.

Je gaat er vanuit dat je geheugen addressen kunt uitlezen zonder te crashen en dat kan dus niet met iedere bug. Stel je heb je controle over de execution flow (via SEH, saved ret, overschreven function pointer, whatever) waar return je dan? Je kan niet naar de stack/heap returnen (DEP) en returnen in ntdll.dll bijvoorbeeld lukt niet omdat je niet weet wat het base address van deze library is.

Je kan niet zomaar random addressen proberen gezien dit zal resulteren in een crash van IE; het moet in een keer goed zijn.

Wat Peter heeft gedaan om dit op te lossen: hij overschrijft van een utf-8 string de terminating zero byte, zodat data dat achter deze string ligt geappend word aan de string. De data achter deze string is een vtable address, en hiervan is het base address van de .dll af te leiden, wat weer verder gebruikt kan worden om DEP te omzeilen.

http://vreugdenhilresearch.nl/Pwn2Own-2010-Windows7-InternetExplorer8.pdf
25-03-2010, 22:10 door Anoniem
Door Anoniem: en firefox op Linux????
dat zie ik nergens vermeldt
Wordt ook bijna door niemand gebruikt..
26-03-2010, 07:23 door Rene V
Door Anoniem: Heeft die pippo echt niets anders te doen?
Grow up man!


Die "pippo" (ik neem aan dat je "pipo" bedoelt), heeft anders wel 10.000 dollar en een laptop verdiend. :-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure