Softpedia
Em um tweet de Alex Ionescu, vice-presidente de Estratégia de EDR da CrowdStrike, Inc., ele anunciou o lançamento do Canivete do Exército Ring 0 (r0ak) no GitHub bem a tempo da conferência de segurança da informação Black Hat USA 2018. Ele descreveu a ferramenta como sem driver e integrada em todos os sistemas de domínio do Windows: Windows 8 e posteriores. A ferramenta permite a execução de leitura, gravação e depuração Ring 0 em ambientes Hypervisor Code Integrity (HVCI), Secure Boot e Windows Defender Application Guard (WDAG), um feito que muitas vezes é difícil de alcançar nesses ambientes naturalmente.
Bem a tempo para #Chapéu preto , Eu lancei o Canivete do Exército Ring 0 (r0ak) em https://t.co/ILcO7MoSw3 . Ferramenta de depuração arbitrária de leitura / gravação / execução sem driver completa do Windows 8+ Ring 0 para ambientes HVCI / Secure Boot / WDAG onde a depuração local é frequentemente impossível de configurar. pic.twitter.com/bPlSDBVoRr
- Alex Ionescu (@aionescu) 6 de agosto de 2018
Espera-se que Alex Ionescu falar na conferência Black Hat USA deste ano agendada para 4 a 9 de agosto em Mandalay Bay, Las Vegas. De 4 a 7 de agosto consistirão em workshops de treinamento técnico, enquanto 8 e 9 de agosto verão os discursos, briefings, apresentações e salas de negócios de alguns dos principais nomes no mundo da segurança de TI, incluindo Ionescu na esperança de compartilhar as últimas novidades em pesquisas , desenvolvimento e tendências entre a comunidade de segurança de TI. Alex Ionescu está apresentando uma palestra intitulada “The Windows Notification Facility: Descascando a cebola da superfície de ataque de kernel mais indocumentada até agora”. Seu lançamento pré-palestra parece ser exatamente o que ele quer falar.
Espera-se que ferramentas de código aberto e exploits de dia zero sejam compartilhados abertamente nesta conferência e parece apropriado que a Ionescu acaba de lançar uma ferramenta gratuita de execução de leitura, gravação e depuração Ring 0 para Windows. Alguns dos maiores desafios enfrentados na plataforma Windows incluem as limitações de seu Windows Debugger e SysInternal Tools, que são fundamentais para a solução de problemas de TI. Como eles são limitados em seu próprio acesso às APIs do Windows, a ferramenta Ionescu é apresentada como um hotfix de emergência bem-vindo para solucionar problemas de kernel e de nível de sistema que normalmente seriam impossíveis de analisar.
Anel 0 Canivete de Alex Ionescu. GitHub
Uma vez que apenas as funcionalidades do Windows preexistentes, integradas e assinadas pela Microsoft são empregadas com todas as referidas funções chamadas sendo parte do bitmap KCFG, esta ferramenta não viola nenhuma verificação de segurança, exige qualquer escalonamento de privilégio ou usa qualquer 3rdmotoristas partidários para realizar suas operações. A ferramenta opera na estrutura fundamental do sistema operacional redirecionando o fluxo de execução das verificações de validação de fonte confiável do gerenciador de janelas para receber uma notificação assíncrona de Rastreamento de Eventos para Windows (ETW) da execução completa do item de trabalho (WORK_QUEUE_ITEM) para a liberação de buffers de modo kernel e a restauração da operação normal.
Como essa ferramenta resolve as limitações de outras funcionalidades do Windows, ela vem com seu próprio conjunto de limitações. Esses, no entanto, são aqueles com os quais os especialistas de TI estão dispostos a lidar, pois a ferramenta permite a execução bem-sucedida do processo básico necessário. Essas limitações são que a ferramenta só pode ler 4 GB de dados por vez, gravar até 32 bits de dados por vez e executar apenas 1 funções de parâmetro escalar. Essas limitações poderiam ter sido superadas facilmente se a ferramenta tivesse sido programada de uma maneira diferente, mas Ionescu afirma que escolheu manter a ferramenta desta forma, pois ela consegue realizar o que foi planejado para fazer de forma eficiente e isso é tudo que importa.
