Softpedia
I en tweet av Alex Ionescu, vice vd för EDR-strategi på CrowdStrike, Inc., meddelade han lanseringen av Ring 0 Army Knife (r0ak) på GitHub precis i tid för Black Hat USA 2018 informationssäkerhetskonferens. Han beskrev verktyget som drivrutinsfritt och inbyggt för alla Windows-domänsystem: Windows 8 och framåt. Verktyget möjliggör avläsning, skrivning och felsökning av ring 0 i Hypervisor Code Integrity (HVCI), Secure Boot och Windows Defender Application Guard (WDAG) -miljöer, en bedrift som det ofta är svårt att uppnå i dessa miljöer.
Precis i tid för #Svart hatt Jag har släppt Ring 0 Army Knife (r0ak) kl https://t.co/ILcO7MoSw3 . Fullständig drivrutin, inbyggd, Windows 8+ Ring 0 godtycklig läs / skriv / kör felsökningsverktyg för HVCI / Secure Boot / WDAG-miljöer där lokal felsökning ofta är omöjlig att konfigurera. pic.twitter.com/bPlSDBVoRr
- Alex Ionescu (@aionescu) 6 augusti 2018
Alex Ionescu förväntas göra det tala vid årets Black Hat USA-konferens planerad till 4 till 9 augusti i Mandalay Bay, Las Vegas. 4 till 7 augusti kommer att bestå av tekniska utbildningsworkshops medan 8 och 9 augusti kommer tal, genomgångar, presentationer och affärshallar för några av de ledande namnen i IT-säkerhetsvärlden inklusive Ionescu i hopp om att dela det allra senaste inom forskning , utveckling och trender bland IT-säkerhetsgemenskapen. Alex Ionescu presenterar ett föredrag med titeln 'Windows Notification Facility: Peeling the Onion of the Most Odocumented Kernel Attack Surface Yet.' Hans släpp före prat verkar precis uppe i gränden av vad han vill prata om.
Open source-verktyg och zero day exploater förväntas delas öppet vid den här konferensen och det verkar passande att Ionescu just har kommit ut med ett kostnadsfritt verktyg för läsning, skrivning och felsökning av Ring 0 för Windows. Några av de största utmaningarna på Windows-plattformen inkluderar begränsningarna för dess Windows-felsökare och SysInternal Tools som är avgörande för IT-felsökning. Eftersom de är begränsade i sin egen åtkomst till Windows API: er, kommer Ionescus verktyg fram som en välkommen snabbkorrigering för att snabbt felsöka kärn- och systemnivåproblem som normalt skulle vara omöjliga att analysera.
Ring 0 Army Knife av Alex Ionescu. GitHub
Eftersom endast redan existerande, inbyggda och Microsoft-undertecknade Windows-funktioner används med alla nämnda kallade funktioner som en del av KCFG-bitmappen, bryter inte detta verktyg några säkerhetskontroller, kräver ingen rättighetsökning eller använder någon 3rdpartförare att utföra sin verksamhet. Verktyget fungerar på operativsystemets grundläggande struktur genom att omdirigera körningsflödet för fönsterhanterarens betrodda kontroll av typsnittsvalidering för att få en händelsesspårning för Windows (ETW) asynkron anmälan om fullständig körning av arbetsobjektet (WORK_QUEUE_ITEM) för frigörande av kärnläge buffertar och återställning av normal drift.
Eftersom detta verktyg löser begränsningarna för andra sådana funktioner i Windows kommer det med sin egen uppsättning begränsningar. Dessa är emellertid sådana som IT-specialister är villiga att hantera eftersom verktyget möjliggör ett framgångsrikt genomförande av den grundläggande processen som krävs. Dessa begränsningar är att verktyget bara kan läsa 4 GB data åt gången, skriva upp till 32-bitars data åt gången och endast utföra 1 skalarparameterfunktioner. Dessa begränsningar hade lätt kunnat övervinnas om verktyget hade programmerats på ett annat sätt, men Ionescu hävdar att han valde att behålla verktyget på det här sättet eftersom det lyckas utföra vad det är tänkt att göra effektivt och det är allt som betyder något.
