🔴 آقای علی امینی مقاله ای نوشتن در خصوص یک مشکل در تابع wtoi که میتونه منجر به دور زدن AV/EDR بشه :
مقاله رو میتونید از لینک زیر بخونید: (زبانش انگلیسی)
https://aleeamini.com/overflow-in-wtoi-leads-attackers-bypass-avs
#مایکروسافت
#EDR #AV #Microsoft
🆔 @onhex_ir
➡️ ALL Link
چگونه یک اشتباه برنامه نویسی در تابع #wtoi ویندوز، باعث میشه که مهاجم بتونه AV/EDR رو دور بزنه؟
این مطلب به درد چه کسایی میخوره؟
این مطلب میتونه هم به برنامهنویسها مخصوصا کسایی که C/C++ کار میکنن و هم به کسایی که #redteam یا #blueteam کار میکنن یک دید خوبی بده.
یکی از راههایی که برای گرفتن #dump از #lsass استفاده میکنن، استفاده از کتابخونه #comsvcs که یکی از #LOLBAS ها هست.
توی این روش میان و تابع #MiniDump رو با استفاده از #rundll32 فراخوانی میکنن و از lsass یه دامپ میگیرن.
اما محصولات امنیتی این فراخوانی رو تشخیص میدن و جلوی این کار رو میگیرن.
توی مقاله جدیدی که نوشتم، یک اشتباه برنامهنویسی توی کتابخونه #msvcrt رو موشکافی کردم که مهاجم با استفاده از این مساله میتونه محصولات امنیتی رو دور بزنه.
البته نمونهای که اینجا بررسی کردم یکی از مواردی هست که مهاجم میتونه ازش سو استفاده بکنه.
ممکنه کلی کار دیگه با این سرریزی که موجود هست بشه انجام داد.
نکته قابل تأمل اینه که چرا #microsoft هنوز این مساله امنیتی رو توی rundll32 رفع نکرده.
مقاله رو میتونید از لینک زیر بخونید: (زبانش انگلیسی)
https://aleeamini.com/overflow-in-wtoi-leads-attackers-bypass-avs
#مایکروسافت
#EDR #AV #Microsoft
🆔 @onhex_ir
➡️ ALL Link