Softpedia
Alex Ionescu, a CrowdStrike, Inc. EDR stratégiáért felelős alelnökének tweetjében éppen a Black Hat USA 2018 információbiztonsági konferencia idejére jelentette be a Ring 0 hadsereg késének (r0ak) kiadását a GitHub-nál. Leírta, hogy az eszköz nem illesztőprogram nélküli és beépített az összes Windows tartományi rendszerhez: Windows 8 és újabb. Az eszköz lehetővé teszi a Ring 0 olvasási, írási és hibakeresési futtatását a Hypervisor Code Integrity (HVCI), a Secure Boot és a Windows Defender Application Guard (WDAG) környezetekben, ezt a teljesítményt azonban gyakran nehéz elérni ezekben a környezetekben természetesen.
Épp időben #Fekete sapka , Itt adtam ki a Ring 0 hadsereg kését (r0ak) https://t.co/ILcO7MoSw3 . Teljes illesztőprogram nélküli, beépített, Windows 8+ Ring 0 tetszőleges olvasási / írási / végrehajtási hibakereső eszköz HVCI / Secure Boot / WDAG környezetekhez, ahol a helyi hibakeresést gyakran lehetetlen beállítani. pic.twitter.com/bPlSDBVoRr
- Alex Ionescu (@aionescu) 2018. augusztus 6
Alex Ionescu várhatóan beszél az idei Black Hat USA konferencián, amelyet augusztus 4-től 9-ig terveznek a Las Vegas-i Mandalay Bay-be. Az augusztus 4–7. Között technikai képzési műhelyek lesznek, míg augusztus 8-án és 9-én az informatikai biztonsági világ néhány vezető nevének beszédei, eligazításai, előadásai és üzleti termei lesznek, ideértve az Ionescut is, abban a reményben, hogy megosszák a legújabb kutatási eredményeket , fejlesztés és trendek az informatikai biztonsági közösség körében. Alex Ionescu „A Windows értesítési eszköze: a legdokumentálatlanabb kerneltámadási felület hagyma lehámozása” címmel tart előadást. Beszélgetés előtti kiadása úgy tűnik, éppen a sikátorban van, amiről beszélni akar.
A nyílt forráskódú eszközöket és a nulla napos kihasználásokat várhatóan nyíltan megosztják ezen a konferencián, és megfelelőnek tűnik, hogy az Ionescu most megjelent egy ingyenes Ring 0 olvasási, írási és hibakeresési futtató eszközzel a Windows számára. A Windows platform legnagyobb kihívásai közé tartozik a Windows Debugger és a SysInternal Tools korlátai, amelyek kiemelkedően fontosak az informatikai hibaelhárításhoz. Mivel a Windows API-khoz való saját hozzáférésük korlátozott, az Ionescu eszköze üdvözlő sürgősségi gyorsjavításként jelenik meg a kernel és a rendszerszintű problémák gyors elhárításához, amelyeket általában lehetetlen elemezni.
Ring 0 hadsereg kés, Alex Ionescu. GitHub
Mivel csak a meglévő, a beépített és a Microsoft által aláírt Windows-funkciókat alkalmazzák, és az összes említett hívott funkció a KCFG bitkép része, ez az eszköz nem sért semmilyen biztonsági ellenőrzést, nem követel semmilyen privilégium-fokozást, és nem használ semmilyen 3rdpártvezérek műveleteinek elvégzéséhez. Az eszköz az operációs rendszer alapvető struktúráján működik, és az ablakkezelő megbízható betűtípus-ellenőrzési ellenőrzéseinek végrehajtási folyamatát átirányítja, hogy az eseménykövetés for Windows (ETW) aszinkron értesítést kapjon a munkaelem teljes végrehajtásáról (WORK_QUEUE_ITEM) a felszabadításhoz. kernel módú pufferek és a normál működés helyreállítása.
Mivel ez az eszköz megoldja a Windows egyéb ilyen funkcióinak korlátait, saját korlátozással rendelkezik. Ezekkel azonban az informatikusok hajlandók foglalkozni, mivel az eszköz lehetővé teszi a szükséges alapvető folyamat sikeres végrehajtását. Ezek a korlátozások az, hogy az eszköz egyszerre csak 4 GB adatot tud olvasni, egyszerre akár 32 bites adatot is írhat, és csak 1 skalárparaméter-funkciót hajthat végre. Ezeket a korlátokat könnyedén felül lehetett volna oldani, ha az eszközt más módon programozták volna, de Ionescu azt állítja, hogy úgy döntött, hogy az eszközt így tartja, mivel képes hatékonyan végrehajtani azt, amire el van tervezve, és csak ez számít.
