{
  "guid": "d6f06237-7a1a-5831-ab28-f5f621fd007d",
  "id": 815,
  "date": "2024-12-28T16:00:00+01:00",
  "start": "16:00",
  "duration": "01:00",
  "room": "Stage YELL",
  "slug": "38c3-der-schlssel-zur-compromittierung-local-privilege-escalation-schwachstellen-in-av-edrs",
  "url": "https://events.ccc.de/congress/2024/hub/de/event/der-schlssel-zur-compromittierung-local-privilege-escalation-schwachstellen-in-av-edrs/",
  "title": "Der Schl\u00fcssel zur COMpromittierung: Local Privilege Escalation Schwachstellen in AV/EDRs",
  "subtitle": null,
  "language": "de",
  "track": null,
  "type": "Talk 60 (45min +15 Q&A)",
  "abstract": "Im vergangenen Jahr wurden von uns in f\u00fcnf kritische Schwachstellen in Endpoint Protection Software entdeckt, die es uns erm\u00f6glichen, auf Basis von COM-Hijacking unsere Privilegien auf Windows-Endpunkten zu erweitern. In diesem Vortrag demonstrieren wir, wie COM-Hijacking genutzt werden kann, um Code im Kontext gesch\u00fctzter Frontend-Prozesse auszuf\u00fchren. Zudem zeigen wir auf, wie COM Hijacking das Vertrauensverh\u00e4ltnis zwischen gesch\u00fctzten Frontend-Prozessen und Backend-Diensten aushebelt um h\u00f6here Privilegien (Local Privilege Escalation) auf Systemen zu erhalten. Des Weiteren erkl\u00e4ren wir unsere Methodik und Vorgehensweise um solche Schwachstellen zu finden und auszunutzen. Abschlie\u00dfend enth\u00fcllen wir Details zu den von uns gefundenen Schwachstellen und diskutieren m\u00f6gliche Gegenma\u00dfnahmen.",
  "description": "COM-Hijacking ist vor allem als Technik bekannt, um auf Windows-Endpunkten Persistenz zu erreichen. In diesem Vortrag stellen wir jedoch eine weniger bekannte, aber \u00e4u\u00dferst wirkungsvolle Anwendung vor: Wir haben COM-Hijacking eingesetzt, um Code in die gesch\u00fctzten Frontend-Prozesse von Sicherheitsprodukten einzuschleusen. Dadurch konnten wir die Vertrauensbeziehung zwischen diesen Prozessen und den privilegierten Backends ausnutzen und hohe Privilegien auf dem Endpunkt erlangen.\r\n\r\nIn unserem Vortrag erl\u00e4utern wir detailliert unsere Vorgehensweise zur Identifikation dieser Schwachstellen und stellen die technischen Aspekte der von uns entdeckten L\u00fccken im Detail vor. Im ersten Teil des Vortrags zeigen wir, wie wir mittels COM-Hijacking in der Lage waren, Code im Kontext der gesch\u00fctzten Frontend-Prozesse auszuf\u00fchren. Im zweiten Teil analysieren wir die Kommunikationsmechanismen zwischen Frontend und Backend und legen offen, wie wir diese Vertrauensverbindung kompromittieren konnten. Abschlie\u00dfend erkl\u00e4ren wir verschiedene Techniken, die es uns erm\u00f6glichte, unsere Privilegien auf Systemebene erfolgreich zu erweitern und diskutieren Gegenma\u00dfnahmen die \u00e4hnliche Schwachstellen verhindern k\u00f6nnten.",
  "logo": null,
  "persons": [
    {
      "guid": "236c9e83-b2d1-5fa9-a87c-13a88aea88ad",
      "name": "Kolja Grassmann",
      "public_name": "Kolja Grassmann",
      "avatar": null,
      "biography": null,
      "url": "https://events.ccc.de/congress/2024/hub/de/user/speaker_236c9e83-b2d1-5fa9-a87c-13a88aea88ad/"
    },
    {
      "guid": "690008d9-e939-55bd-8f13-cb0c2778bda8",
      "name": "Alain R\u00f6del",
      "public_name": "Alain R\u00f6del",
      "avatar": "https://cfp.cccv.de/media/avatars/TDXEEA_CpsMekv.jpg",
      "biography": null,
      "url": "https://events.ccc.de/congress/2024/hub/de/user/speaker_690008d9-e939-55bd-8f13-cb0c2778bda8/"
    }
  ],
  "links": [],
  "origin_url": "https://cfp.cccv.de/38c3-community-stages/talk/DGGAVN/",
  "feedback_url": "https://cfp.cccv.de/38c3-community-stages/talk/DGGAVN/feedback/"
}