Kilka tygodni temu gościł u mnie j00ru, co, jak można się domyślić, skończyło się kilkoma ciekawymi pomysłami. Jednym z pomysłów było wykorzystanie mechanizmu call-gate'ów w pisaniu exploitów na kernel/drivery pod Windows, a konkretniej chodzi o wykorzystanie write-what-where do przekształcenia LDT w Call-Gate, i tym sposobem podniesienie uprawnień kodu z user-land do ring 0. Efektem tychże rozważań jest "papierek" oraz kilka PoC, które można ściągnąć poniżej.

Jeszcze zanim przejdę do linków, chciałbym gorąco podziękować Unavowed'owi za masę czasu jaką poświęcił na korektę poniższego papierka oraz jego konwersję na LaTeX (papierek zaczął być tworzony w OO.org, potem został przerobiony pod Word 2007, a pod sam koniec wylądował w LaTeX'ie). Podziękowania należą się również Agnieszce 'Sorrento Aishikami' Zerce za równoległą korektę :)

GDT and LDT in Windows kernel vulnerability exploitation by Matthew "j00ru" Jurczyk and Gynvael Coldwind
PDF: call_gate_exploitation.pdf (680KB)
PoC: ldtsource.zip (13kb) (plik jest również dołączony do PDF'a)

Spis treści:
1. Abstract
2. The need of a stable exploit path
3. Windows GDT and LDT
4. Creating a Call-Gate entry in LDT
4.1. 4-byte write-what-where exploitation
4.2. 1-byte write-what-where exploitation
4.3. Custom LDT goes User Mode
5. Summary
+ References
+ Attachments

Wszelkie komentarze mile widziane, za równo u mnie, jak i na blogu j00ru! :)

Update (17 Stycznia 2010, 19:32 GMT+1): Zauważyliśmy, że jeden z exploitów PoC zawartych w paczce zawiera stary eksperymentalny kod, zamiast nowego. W związku z czym przed chwilą podmieniłem paczkę na prawidłową. Przepraszamy za zamieszanie :)
MD5 starego zbugowanego (ldt)sources.zip / pdf: 95f1b1551e34d7f28789fa17693f0c17 / 6cb745e451be165f49a66876557cb518
MD5 nowego prawidłowego (ldt)sources.zip / pdf: 63657de78b1a2a35b46fc29aa8df81cf / 6840185722dc69048e0bf5434f19d5cb

Update 2: Zainteresowanych zachęcam na rzucenia okiem na dyskusję na forum woodmann.com.