Softpedia
CrowdStrike, Inc. EDR-i strateegia asepresidendi Alex Ionescu säutsus teatas ta GitHubis armee nuga Ring 0 (r0ak) vabastamisest just Black Hat USA 2018 infoturbekonverentsi ajaks. Ta kirjeldas, et tööriist on draiverivaba ja sisseehitatud kõigi Windowsi domeenisüsteemide jaoks: Windows 8 ja uuemad. Tööriist võimaldab Ring 0 lugemise, kirjutamise ja silumise käivitamist Hypervisor Code Integrity (HVCI), Secure Boot ja Windows Defender Application Guard (WDAG) keskkondades, mida on nendes keskkondades loomulikult raske saavutada.
Just selleks ajaks #MustKübar , Olen välja lasknud armeenoa Ring 0 (r0ak) kl https://t.co/ILcO7MoSw3 . Täielik draiverivaba, sisseehitatud Windows 8+ Ring 0 meelevaldne lugemis-, kirjutamis- ja käivitamisriist tööriist HVCI / Secure Boot / WDAG keskkondadele, kus kohalikku silumist on sageli võimatu seadistada. pic.twitter.com/bPlSDBVoRr
- Alex Ionescu (@aionescu) 6. august 2018
Eeldatakse, et Alex Ionescu rääkima selle aasta 4. - 9. augustini Las Vegases Mandalay lahes kavandatud Black Hat USA konverentsil. 4. – 7. August koosneb tehniliste koolituste töötubadest ning 8. ja 9. augustil toimuvad IT-turvalisuse maailma juhtivate nimede, sealhulgas Ionescu, sõnavõtud, briifingud, ettekanded ja ärisaalid lootuses jagada uusimat teadustööd , areng ja trendid IT-turvalisuse kogukonnas. Alex Ionescu esitleb kõnet pealkirjaga 'Windowsi teatisemehhanism: kõige dokumenteerimata tuumarünnaku pinna koorimine veel'. Tema kõne-eelne vabastamine näib olevat otse selle allee otsas, millest ta rääkida soovib.
Eeldatakse, et sellel konverentsil jagatakse avatud lähtekoodiga tööriistu ja nullipäevaseid ekspluateerimisi avalikult ning tundub kohane, et Ionescu tuli äsja Windowsi jaoks välja tasuta Ring 0 lugemise, kirjutamise ja silumise tööriist. Ühed suurimad väljakutsed, millega Windowsi platvorm silmitsi seisab, hõlmavad selle Windowsi silurite ja SysInnereni tööriistade piiranguid, mis on IT-tõrkeotsingu jaoks esmatähtsad. Kuna nende enda juurdepääs Windowsi API-dele on piiratud, tuleb Ionescu tööriist välja tervitatava hädaolukorra kiirparandusena, et kiiresti lahendada tuuma ja süsteemitaseme probleeme, mida tavaliselt on võimatu analüüsida.
Alex Ionescu sõjaväe nuga Ring 0 GitHub
Kuna kasutatakse ainult olemasolevaid, sisseehitatud ja Microsofti allkirjastatud Windowsi funktsioone, kusjuures kõik nimetatud funktsioonid on osa KCFG bitikaardist, ei riku see tööriist ühtegi turvakontrolli, ei nõua privileegide eskaleerimist ega kasuta mis tahes 3rdjuhte oma operatsioonide teostamiseks. Tööriist töötab opsüsteemi põhistruktuuris, suunates aknahalduri usaldusväärsete fondide valideerimise kontrollide täitmisvoo, et saada vabastamiseks Windowsi sündmuste jälgimise (ETW) asünkroonne teade tööüksuse (WORK_QUEUE_ITEM) täieliku täitmise kohta tuumarežiimi puhvrite arv ja normaalse töö taastamine.
Kuna see tööriist lahendab Windowsi muude selliste funktsioonide piirangud, on sellel ka omad piirangud. Need on aga need, kellega IT-spetsialistid on valmis tegelema, kuna tööriist võimaldab vajaliku põhiprotsessi edukalt läbi viia. Need piirangud on, et tööriist saab korraga lugeda ainult 4 GB andmeid, kirjutada korraga kuni 32-bitiseid andmeid ja täita ainult 1 skalaarparameetri funktsiooni. Nendest piirangutest oleks võinud vabaneda, kui tööriist oleks programmeeritud teistmoodi, kuid Ionescu väidab, et ta otsustas tööriista hoida sellisel viisil, kui see suudab tõhusalt täita seda, mis on ette nähtud ja see on kõik oluline.
