欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

如何借助COM对Windows受保护进程进行代码注入

来源:本站整理 作者:佚名 时间:2018-12-06 TAG: 我要投稿

在Recon Montreal 2018上,我与Alex Ionescu共同发表了“已知DLL和其他代码完整性信任绕过的新方法”的演讲。我们描述了Microsoft Windows中的代码完整性机制,以及Microsoft是如何实现进程保护(Protected Processes,PP)的。在演讲中,我展示了如何绕过Protected Process Light(PPL)保护机制,有些绕过方法需要具有管理员权限,有些则不需要。

在这篇博客中,将主要探讨在Windows 10 1803上,如何向PPL进行代码注入。由于Microsoft表示存在于防御安全边界的唯一漏洞已经被修复,因此我可以更详细的讲解一下利用方法。

漏洞描述点击这里

Microsoft关于这一漏洞的公告

关于Windows受保护进程
Windows受保护进程(Windows Protected Process)模型可以追溯到Windows Vista,它是为了保护DRM进程而引入的。受保护进程模型受到严格限制,将其需要加载的DLL限制为随操作系统安装的代码集。此外,只有使用特定Microsoft证书进行签名,并将其嵌入到二进制文件中的可执行文件,才有权限启动保护。其中,有一项由内核强制执行的保护,使未受保护的进程无法打开受保护进程的句柄,因此没有足够权限来注入任意代码或读取内存。
在Windows 8.1中,引入了一种新的机制,称为Protected Process Light(PPL),该机制使保护变得更加通用。PPL放宽了可以受到保护的DLL范围,并为主要可执行文件引入了不同的签名要求。另外,还有一个重大变化,就是它加入了“签名级别”的概念,以此来区分不同类型的受保护进程。某个级别的PPL,对同级别或更低级别的任何进程拥有完全访问的权限,对更高级别的权限只有受限的访问权限。这一签名级别的概念,也同样扩展到旧的PP模式上,同一级的PP可以打开相同级别或更低级别的所有PP和PPL,但反过来就不行,PPL在任何级别的情况下都无法拥有对PP的完全访问权限。下图表示了其中的一些级别和相互关系:

[1] [2] [3] [4] [5] [6] [7]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载