Umgehen von Windows-Kernel-Mitigations: Ein tiefer Einblick in Violet Phosphorus
Dieser Beitrag befasst sich eingehend mit dem Umgehen moderner Windows 10 und 11 Kernel-Mitigations wie SMEP und VBS. Der Autor beschreibt Violet Phosphorus, eine universelle Bypass-Technik für VBS/SMEP, und liefert dazu PoC-Code und eine ROP-Chain. Er erklärt die Funktionsweise von SMEP und VBS und demonstriert, wie eine Schwachstelle im HackSysExtremeVulnerableDriver ausgenutzt werden kann, um ROP-Gadgets und die Funktion MiGetPteAddress zu verwenden, um Page-Table-Einträge zu modifizieren und so die Ausführung von Code im Kernel zu ermöglichen. Der Autor zeigt auch, wie der SYSRET-Shellcode von Kristal-G verwendet werden kann, um in den Benutzermodus zurückzukehren. Dies ist eine wertvolle Ressource für Kernel-Exploit-Entwickler und Sicherheitsforscher und wird als Entwicklung kategorisiert.