Para visualizar el sitio de manera óptima actualice el navegador. ×

The "Bird" That Killed Arbitrary Code Guard

En marzo de 2017, Microsoft lanzó Windows 10 Creators Update, conocido como Redstone 2, con grandes mejoras en su tecnología Arbitrary Code Guard, como también la habilitación oficial de la mitigación de esta en Edge, a través del uso de un proceso del JIT Engine fuera de proceso. De cualquier manera, en la práctica, la mitigación desafortunadamente salió rota, una falla en un componente separado indocumentado, pero relacionado, del kernel, accesible desde procesos en modo usuario no privilegiado, permitido por un completo bypass, permitiendo la ubicación y ejecución de un código de escritura ejecutable dentro del Edge o cualquier otro proceso. Además, este componente también proporciona la habilidad de crear de manera creativa códigos encriptados y ofuscados con sus procesos, y usar un desempaquetador de kernel compactado para entregar payloads. Esta falla fue lo suficientemente grave para calificar y recibir, la recompensa por una falla de implementación en un bypass de mitigación. Luego de haber hecho cambios en el administrador de memoria, el compilador, y otras partes del sistema para abordar este asunto, la complejidad del arreglo requerido, lo transformó en inadecuado para un parche, especialmente dado que este asunto solo existe en Creators Update. Microsoft lo ha parchado ahora en el Fall Creators Update, y esta charla discutirá los detalles técnicos detrás del descubrimiento y el poder de este nuevo componente escondido, así como también los arreglos que fueron hechos para mitigar los ataques.

Sobre Alex Ionescu

Alex Lonescu es el jefe de arquitectura en CrowdStrike, Inc. Es un arquitecto en seguridad de clase mundial y consultor experto en sistemas de software de bajo nivel, desarrollo de kernel, trainer en seguridad e ingeniería inversa. Es co-autor de las últimas dos ediciones de la serie Windos Internals, junto con Mark Russinovich y David Solomon. Sus trabajos han llevado al arreglo de muchas vulnerabilidades de kernel críticas, así como también más de una docena de fallas no seguras. Previamente, Alex fue el desarrollador de kernel líder en ReactOS, un clon de Windows de fuente abierta escrita desde el principio, para la cual escribió la mayor parte de los subsistemas basados en Windows NT. Durante sus estudios en ciencias de la computación, Alex trabajó en Apple en el kernel IOS, cargador de arranque y drivers en el equipo de plataforma central original detrás de iPhone, iPad y AppleTV. Alex, es también el fundador de Winsider Seminars & Solutions Inc. una compañía que se especializa en sistemas de softwares de bajo nivel, ingeniería inversa y trainings de seguridad para varias instituciones en los últimos 3 años. también ha contribuido en parches y desarrollo en dos de los kernels de sistema operativos más usados comercialmente.