Softpedia
CrowdStrike, Inc: n EDR-strategian varapääjohtaja Alex Ionescun tweetissä hän ilmoitti Ring 0 -marjaveitsen (r0ak) julkaisemisesta GitHubissa juuri ajoissa Black Hat USA 2018 -tietoturvallisuuskonferenssiin. Hän kuvasi työkalun olevan ohjaimeton ja sisäänrakennettu kaikille Windows-toimialuejärjestelmille: Windows 8 ja uudemmat. Työkalu sallii Ring 0 -luku-, kirjoitus- ja virheenkorjauksen suorituksen Hypervisor Code Integrity (HVCI) -, Secure Boot- ja Windows Defender Application Guard (WDAG) -ympäristöissä, mikä on usein vaikea saavuttaa luonnollisesti näissä ympäristöissä.
Juuri ajoissa #Musta hattu , Olen julkaissut Ring 0 -armeiveitsen (r0ak) https://t.co/ILcO7MoSw3 . Täysi ohjaimeton, sisäänrakennettu, Windows 8+ Ring 0 mielivaltainen luku / kirjoitus / suoritus -vianetsintätyökalu HVCI / Secure Boot / WDAG -ympäristöihin, joissa paikallista virheenkorjausta on usein mahdotonta määrittää. pic.twitter.com/bPlSDBVoRr
- Alex Ionescu (@aionescu) 6. elokuuta 2018
Alex Ionescun odotetaan puhua tämän vuoden Black Hat USA -konferenssissa, joka pidetään 4.-9. elokuuta Mandalay Bayssä Las Vegasissa. 4. – 7. Elokuuta koostuvat teknisen koulutuksen työpajoista, kun taas 8. ja 9. elokuuta pidetään tietotekniikan tietoturvamaailman johtavien nimien, kuten Ionescun, puheenvuorot, tiedotukset, esitykset ja liikesalit toivoen jakavansa viimeisimmät tutkimukset , kehitys ja trendit tietoturva-yhteisön keskuudessa. Alex Ionescu esittelee puheen, jonka otsikko on 'Windowsin ilmoituspalvelu: Kuorinta sipulin kaikkein dokumentoimattomimmasta ytimen hyökkäyspinnasta'. Hänen puhetta edeltävä julkaisunsa näyttää siltä kujalta, mistä hän haluaa puhua.
Avoimen lähdekoodin työkalujen ja nollapäivän hyödyntämisen odotetaan jakavan avoimesti tässä konferenssissa, ja näyttää sopivalta, että Ionescu on juuri julkaissut ilmaisen Ring 0 -luku-, kirjoitus- ja virheenkorjaustyökalun Windowsille. Jotkut suurimmista Windows-alustan kohtaamista haasteista ovat sen Windows Debugger ja SysInternal Tools -rajoitukset, jotka ovat ensiarvoisen tärkeitä IT-vianmääritykselle. Koska niillä on rajoitettu oma käyttöoikeus Windows-sovellusliittymiin, Ionescun työkalu tulee tervetullut hätäkorjauskorjaus kerneli- ja järjestelmätason ongelmien nopeaan vianmääritykseen, jota ei yleensä voida analysoida.
Ring 0 armeijan veitsi, Alex Ionescu. GitHub
Koska vain olemassa olevia, sisäänrakennettuja ja Microsoftin allekirjoittamia Windows-toimintoja käytetään, ja kaikki mainitut kutsutut toiminnot ovat osa KCFG-bittikarttaa, tämä työkalu ei riko mitään turvatarkastuksia, vaadi etuoikeuksien laajentamista tai käytä mitään 3rdosapuolen kuljettajat suorittamaan toimintansa. Työkalu toimii käyttöjärjestelmän perusrakenteessa ohjaamalla ikkunanhallinnan luotettujen kirjasintarkistustarkistusten suoritusvirran vastaanottamaan tapahtumien jäljitys Windowsille (ETW) -asynkronisen ilmoituksen työosan (WORK_QUEUE_ITEM) täydellisestä suorituksesta vapauttamista varten ydintilan puskureista ja normaalin toiminnan palauttaminen.
Koska tämä työkalu ratkaisee muiden tällaisten toimintojen rajoitukset Windowsissa, sillä on omat rajoitukset. Nämä ovat kuitenkin IT-asiantuntijoita, jotka ovat valmiita käsittelemään, koska työkalu mahdollistaa tarvittavan perusprosessin onnistuneen suorittamisen. Nämä rajoitukset ovat, että työkalu voi lukea vain 4 Gt tietoa kerrallaan, kirjoittaa enintään 32 bittiä tietoja kerrallaan ja suorittaa vain yhden skalaariparametritoiminnon. Nämä rajoitukset olisi voitu voittaa helposti, jos työkalu olisi ohjelmoitu eri tavalla, mutta Ionescu väittää, että hän päätti pitää työkalun tällä tavoin, kun se onnistuu suorittamaan sen, mitä sen on tarkoitus tehdä tehokkaasti, ja siinä kaikki.
