Traga Seus Próprios Dados de Desenrolamento (BYOUD)

O pesquisador Klez demonstrou uma técnica para manipular metadados de desenrolamento de pilha do Windows. Isso permite que um atacante forje a pilha de chamadas em sistemas com Intel CET ativado, sem alterar endereços de retorno.

A abordagem baseia-se na separação entre CET (Control-flow Enforcement Technology) e o desenrolamento de pilha do Windows: o CET impõe a integridade do fluxo de retorno, enquanto o desenrolamento de pilha do Windows opera independentemente através de metadados de exceção. Ao modificar metadados de desenrolamento, um atacante pode criar pilhas de chamadas com aparência legítima enquanto ainda permanece em conformidade com o CET. A técnica pode ser usada para evadir a detecção de EDR.

📎 Artigo: https://klezvirus.github.io/posts/Byoud/

📎 PoC: https://github.com/klezVirus/byoud

💬 Discutir