{"id":208349,"date":"2018-08-23T16:57:29","date_gmt":"2018-08-23T14:57:29","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=208349"},"modified":"2024-07-09T16:14:32","modified_gmt":"2024-07-09T14:14:32","slug":"turning-tables-bypass-fr-windows-kernel-schutz","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/08\/23\/turning-tables-bypass-fr-windows-kernel-schutz\/","title":{"rendered":"&quot;Turning Tables&quot; Bypass f&uuml;r Windows Kernel-Schutz"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Eine k\u00fcrzlich entdeckte Schwachstelle erm\u00f6glicht die Schutzmechanismen des Windows Kernels zu umgehen. Die \"Turning Tables\" genannte Angriffsmethode kann wohl auch auf Kernel-Module von Linux und macOS angewandt werden. <\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg06.met.vgwort.de\/na\/d1adec1c16964bdd9fe5bbfcd0329ded\" width=\"1\" height=\"1\"\/>Die \"Turning Tables\"-Schwachstelle wurde von den Sicherheitsforschern Omri Misgav und Udi Yavo von enSilo entdeckt. Diese nutzt die Seitentabellen von Windows aus, um die in den Windows-Betriebssystemen vorhandenen Kernelschutzma\u00dfnahmen zu umgehen, wie Bleeping Computer <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/new-turning-tables-technique-bypasses-all-windows-kernel-mitigations\/\" target=\"_blank\" rel=\"noopener\">hier berichtet<\/a>. <\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"Turning Tables\" alt=\"Turning Tables\" src=\"https:\/\/www.bleepstatic.com\/images\/news\/u\/986406\/attacks\/turning-tables-attack-technique.png\" width=\"438\" height=\"493\"\/><br \/>(Turning Tables, Quelle: Bleeping Computer)<\/p>\n<p>Seitentabellen sind eine gemeinsame Datenstruktur f\u00fcr alle Betriebssysteme, nicht nur f\u00fcr Windows, die zur Speicherung von Mappings zwischen virtuellem und physischem Speicher verwendet werden. Virtuelle Adressen werden vom Programm verwendet, das von einem Betriebssystemprozess ausgef\u00fchrt wird, w\u00e4hrend physikalische Adressen von Hardwarekomponenten und insbesondere vom RAM-Subsystem verwendet werden.<\/p>\n<p>Da der physische Speicher (RAM) begrenzt ist, erstellen Betriebssysteme sogenannte \"Shared Code Pages\", in denen mehrere Prozesse den gleichen Code speichern und bei Bedarf aufrufen k\u00f6nnen.<\/p>\n<p>Misgav und Yavo behaupten nun, dass sie mit der Turning Tables-Technik die M\u00f6glichkeit haben, \u00fcber b\u00f6sartigen Code diese \"Shared Code Pages\" zu ver\u00e4ndert. Damit l\u00e4sst sich die Ausf\u00fchrung anderer Prozesse beeinflussen, um so von diesen einige h\u00f6here Rechte zu erlangen. Die Turning-Tables-Technik erm\u00f6glicht es Angreifern, die Privilegien ihres Codes auf h\u00f6here Ebenen, wie z.B. SYSTEM, zu heben.<\/p>\n<p>Die beiden enSilo-Forscher sagen, dass die Technik auch dazu genutzt werden kann, Anwendungen zu ver\u00e4ndern, die in Sandboxen laufen. Letztlich werden solche isolierten Umgebungen ausschlie\u00dflich zum Schutz von Anwendungen vor solchen Angriffen geschaffen. Mit Turning Tables k\u00f6nnen Browser, wie z.B. Chrome, die in Sandboxen laufen, ausgehebelt werden. Interessant w\u00e4re, ob auch Windows 10-Apps so ausgehebelt werden k\u00f6nnen. Aber dazu habe ich keine Aussage gefunden. Vortragsfolien der Sicherheitsforscher gibt es hier als PDF-Dokument. Weitere Details finden sich bei <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/new-turning-tables-technique-bypasses-all-windows-kernel-mitigations\/\" target=\"_blank\" rel=\"noopener\">Bleeping Computer<\/a>. <\/p>\n","protected":false},"excerpt":{"rendered":"<p>Eine k\u00fcrzlich entdeckte Schwachstelle erm\u00f6glicht die Schutzmechanismen des Windows Kernels zu umgehen. Die \"Turning Tables\" genannte Angriffsmethode kann wohl auch auf Kernel-Module von Linux und macOS angewandt werden.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[95,1063,426,301],"tags":[4305,6234,4328,4325],"class_list":["post-208349","post","type-post","status-publish","format-standard","hentry","category-linux","category-mac-os-x","category-sicherheit","category-windows","tag-linux","tag-macos","tag-sicherheit","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/208349","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=208349"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/208349\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=208349"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=208349"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=208349"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}