סכין טבעת 0 של הצבא (r0ak) כלי ביצוע לקריאה, כתיבה ואיתור באגים שוחרר לקראת הכובע השחור ארה'ב 2018

חלונות / סכין טבעת 0 צבאית (r0ak) כלי ביצוע לקריאה, כתיבה ואיתור באגים שוחרר לקראת הכובע השחור ארה'ב 2018 קריאה של 2 דקות

סופטפדיה

בציוץ של אלכס יונסקו, סגן נשיא EDR אסטרטגיה ב- CrowdStrike, Inc, הוא הודיע על שחרורו של סכין Ring 0 Army (r0ak) ב- GitHub בדיוק בזמן לוועידת אבטחת המידע של Black Hat USA 2018. הוא תיאר את הכלי כנטול נהג ומובנה לכל מערכות התחום של Windows: Windows 8 ואילך. הכלי מאפשר ביצוע קריאה, כתיבה וניקוי באגים בטלפון 0 בסביבות Hypervisor Code Integrity (HVCI), Secure Boot ו- Windows Defender Application Guard (WDAG), הישג שלעתים קרובות קשה להשיג בסביבות אלה באופן טבעי.

אפשר דחיסת קבצים ותיקיות ssd

בדיוק בזמן ל #כובע שחור שחררתי את סכין הצבא טבעת 0 (r0ak) בשעה https://t.co/ILcO7MoSw3 . ללא נהג מלא, מובנה, Windows 8+ Ring 0 שרירותי קריאה / כתיבה / ביצוע כלי איתור באגים בסביבות HVCI / Secure Boot / WDAG שבהן לעתים קרובות אי אפשר להגדיר ניפוי מקומי. pic.twitter.com/bPlSDBVoRr

- אלכס יונסקו (@aionescu) 6 באוגוסט 2018

אלכס יונסקו צפוי לְדַבֵּר בכנס Black Hat ארה'ב השנה שנקבע ל -4 עד 9 באוגוסט במנדליי ביי, לאס וגאס. בין ה -4 ל -7 באוגוסט יורכבו מסדנאות ההדרכה הטכניות ואילו ב -8 וב -9 באוגוסט ייראו נאומים, תדרוכים, מצגות ואולמות עסקים של כמה מהשמות המובילים בעולם אבטחת ה- IT, כולל יונסקו בתקווה לחלוק את המחקר האחרון , פיתוח ומגמות בקרב קהילת אבטחת ה- IT. אלכס יונסקו מציג הרצאה שכותרתה 'מתקן ההודעות של חלונות: קילוף הבצל של משטח התקפת הגרעין הכי חסר תעודה.' שחרורו לפני השיחה נראה ממש בסמטה של מה שהוא מחפש לדבר עליו.

כלים קוד פתוח וניצול יום אפס צפויים להיות משותפים בגלוי בכנס זה ונראה ראוי כי Ionescu יצאה זה עתה עם כלי ביצוע קריאה, כתיבה וניקוי באגים בחינם של Ring 0 עבור Windows. חלק מהאתגרים הגדולים ביותר העומדים בפני פלטפורמת Windows כוללים את המגבלות של ניפוי הבאגים של Windows וכלי SysInternal אשר הם החשובים ביותר לפתרון בעיות IT. מכיוון שהם מוגבלים בגישה שלהם לממשקי ה- API של Windows, הכלי של Ionescu יוצא כתיקון חירום מבורך לפתרון בעיות במהירות של ליבות ורמת מערכת שבדרך כלל יהיה בלתי אפשרי לניתוח.

סכין טבעת 0 של אלכס יונסקו. GitHub

מכיוון שרק פונקציות חלונות חתומות שקיימות מראש, מובנות ומיקרוסופט, מועסקות, כאשר כל הפונקציות הנקראות הן חלק ממפת הסיביות של KCFG, כלי זה אינו מפר כל בדיקות אבטחה, אינו דורש הסלמת הרשאות כלשהי או להשתמש בהן.^{מחקר ופיתוח}נהגי צד לבצע את פעולותיו. הכלי פועל על המבנה הבסיסי של מערכת ההפעלה על ידי הפניית זרימת הביצוע של בדיקות אימות הגופנים המהימנות של מנהל החלון לקבלת מעקב אחר אירועים עבור Windows (ETW) אסינכרוני על הביצוע המלא של פריט העבודה (WORK_QUEUE_ITEM) לצורך השחרור של מאגרי מצב הליבה ושיקום הפעולה הרגילה.

מכיוון שכלי זה פותר את המגבלות של פונקציות אחרות כאלה ב- Windows, הוא מגיע עם מערכת מגבלות משלו. עם זאת, אלה מומחי IT שמוכנים להתמודד איתם מכיוון שהכלי מאפשר ביצוע מוצלח של התהליך הבסיסי הנדרש. מגבלות אלה הן שהכלי יכול לקרוא 4GB נתונים בלבד בכל פעם, לכתוב עד 32 סיביות נתונים בכל פעם ולבצע פונקציות פרמטר סקלרי אחד בלבד. ניתן היה להתגבר על מגבלות אלו בקלות אילו תוכנת הכלי בצורה אחרת, אך יונסקו טוען כי בחר לשמור על הכלי כך מכיוון שהוא מצליח לבצע את מה שהוא אמור לעשות ביעילות וזה כל מה שחשוב.