Softpedia
En un tuit d’Alex Ionescu, vicepresident d’Estratègia EDR de CrowdStrike, Inc., va anunciar el llançament del Ring 0 Army Knife (r0ak) a GitHub just a temps per a la conferència de seguretat de la informació de Black Hat USA 2018. Va descriure que l'eina no tenia controlador i estava integrada per a tots els sistemes de domini Windows: Windows 8 i posteriors. L’eina permet l’execució de lectura, escriptura i depuració de Ring 0 en entorns d’integritat de codi d’hippervisor (HVCI), arrencada segura i Windows Defender Application Guard (WDAG), una proesa que sovint és difícil d’aconseguir en aquests entorns de forma natural.
Just a temps per #BlackHat , He llançat el ganivet Ring 0 (r0ak) a https://t.co/ILcO7MoSw3 . Eina de depuració arbitrària de lectura / escriptura / execució de Windows 8+ Ring 0+ integrada sense controlador completa per a entorns HVCI / Secure Boot / WDAG on la depuració local sovint és impossible de configurar. pic.twitter.com/bPlSDBVoRr
- Alex Ionescu (@aionescu) 6 d’agost de 2018
S'espera que Alex Ionescu parlar a la conferència Black Hat USA d’aquest any prevista del 4 al 9 d’agost a Mandalay Bay, Las Vegas. El 4 al 7 d’agost consistirà en tallers de formació tècnica, mentre que els dies 8 i 9 d’agost es presentaran els discursos, reunions informatives, presentacions i sales d’empreses d’alguns dels principals noms del món de la seguretat informàtica, inclòs Ionescu, amb l’esperança de compartir les darreres investigacions. , desenvolupament i tendències entre la comunitat de seguretat informàtica. Alex Ionescu presenta una xerrada titulada 'El sistema de notificació de Windows: pelar la ceba de la superfície d'atac del nucli més indocumentada fins ara'. El seu llançament previ a la xerrada sembla al carreró del que vol parlar.
En aquesta conferència s’espera que es comparteixin eines de codi obert i explotacions de zero dies en aquesta conferència i sembla convenient que Ionescu acabi de sortir amb una eina d’execució de lectura, escriptura i depuració de Ring 0 gratuïta per a Windows. Alguns dels majors desafiaments als quals s’enfronta la plataforma Windows són les limitacions del seu depurador de Windows i SysInternal Tools, que són fonamentals per a la resolució de problemes de TI. Com que tenen un accés limitat a les API de Windows, l’eina d’Ionescu es presenta com una solució d’emergència de benvinguda per solucionar ràpidament els problemes del nucli i del sistema que normalment serien impossibles d’analitzar.
Anell 0 Navalla d'Alex Alexescu. GitHub
Com que només s’utilitzen funcions Windows preexistents, integrades i signades per Microsoft, totes aquestes funcions anomenades formen part del mapa de bits KCFG, aquesta eina no infringeix cap comprovació de seguretat, no exigeix cap escalada de privilegis ni utilitza caprdels conductors del partit per dur a terme les seves operacions. L'eina funciona sobre l'estructura fonamental del sistema operatiu redirigint el flux d'execució de les verificacions de validació de tipus de lletra fiables del gestor de finestres per rebre una notificació asíncrona de seguiment d'esdeveniments per a Windows (ETW) de l'execució completa de l'element de treball (WORK_QUEUE_ITEM) per a l'alliberament de memòria intermèdia en mode nucli i la restauració del funcionament normal.
Com que aquesta eina resol les limitacions d'altres funcionalitats d'aquest tipus a Windows, sí que inclou el seu propi conjunt de limitacions. Aquests, però, són els especialistes en TI que estan disposats a tractar, ja que l'eina permet executar amb èxit el procés bàsic requerit. Aquestes limitacions són que l'eina només pot llegir 4 GB de dades alhora, escriure fins a 32 bits de dades alhora i executar només 1 paràmetre escalar. Aquestes limitacions s’haurien pogut superar fàcilment si l’eina s’hagués programat d’una altra manera, però Ionescu afirma que va optar per mantenir l’eina d’aquesta manera ja que aconsegueix fer el que es vol fer de manera eficient i això és tot el que importa.
