En esta charla se hará una explicación paso a paso de cómo se han encontrado y explotado fallos de lógica (concretamente filesystem bugs) en un EDR muy conocido para conseguir elevar privilegios localmente. Primero se explicará el descubrimiento de este tipo de errores mediante el uso de herramientas como Process Monitor o GHidra. A continuación, se demostrarán las posibilidades existentes a la hora de realizar el abuso de las funcionalidades analizadas. En concreto: Oplocks, Junction Points, Mount Points y Symbolic Links. Para entender los ataques se explicará adicionalmente que son los Object Directories utilizando WinObj para ello. Se explicará también como post-explotar los fallos de lógica encontrados para escalar privilegios de forma local, mediante el abuso de las Shadow Copies de la máquina. Al final de la charla, se hará una demo con los exploits creados. Los fallos de lógica mencionados anteriormente han sido reportados al fabricante como 0-day, se encuentran en proceso de remediación y serán desvelados públicamente con su correspondiente CVE y security advisory unas semanas antes de Navaja Negra.
