Softpedia
V tweete Alexa Ionesca, viceprezidenta stratégie EDR spoločnosti CrowdStrike, Inc., oznámil vydanie armádneho noža Ring 0 (r0ak) na GitHube práve včas na konferenciu o informačnej bezpečnosti Black Hat USA 2018. Popísal, že tento nástroj je bez ovládačov a je zabudovaný do všetkých doménových systémov Windows: Windows 8 a novších verzií. Tento nástroj umožňuje čítanie, zápis a ladenie Ring 0 v prostrediach Hypervisor Code Integrity (HVCI), Secure Boot a Windows Defender Application Guard (WDAG), čo je v týchto prostrediach často ťažké dosiahnuť.
Práve včas na #Čierny klobúk , Armádny nôž Ring 0 (r0ak) som vydal o https://t.co/ILcO7MoSw3 . Plne zabudovaný integrovaný Windows 8+ Ring 0, ľubovoľný ladiaci nástroj na čítanie, zápis / spustenie pre prostredia HVCI / Secure Boot / WDAG, kde je miestne ladenie často nemožné nastaviť. pic.twitter.com/bPlSDBVoRr
- Alex Ionescu (@aionescu) 6. augusta 2018
Očakáva sa, že to bude Alex Ionescu hovor na tohtoročnej konferencii Black Hat USA naplánovanej na 4. až 9. augusta v Mandalay Bay v Las Vegas. 4. až 7. augusta budú tvoriť semináre technického školenia, zatiaľ čo 8. a 9. augusta sa uskutočnia príhovory, brífingy, prezentácie a obchodné haly niektorých z popredných mien vo svete bezpečnosti IT vrátane spoločnosti Ionescu v nádeji, že sa podelíte o najnovšie výsledky výskumu , vývoj a trendy v bezpečnostnej komunite IT. Alex Ionescu prednesie prednášku s názvom „Windows Notification Facility: Peel the Onion of the Most undocumented Kernel Attack Surface Yet.“ Jeho vydanie pred vystúpením sa zdá byť v uličke toho, o čom hovorí.
Očakáva sa, že na tejto konferencii sa budú otvorene zdieľať nástroje otvoreného zdroja a zneužitia nulového dňa a zdá sa byť vhodné, že Ionescu práve vyšiel s bezplatným nástrojom na čítanie, zápis a ladenie Ring 0 pre Windows. Medzi najväčšie výzvy, ktorým čelí platforma Windows, patria obmedzenia jej nástroja Windows Debugger a nástrojov SysInternal, ktoré sú pri riešení problémov s IT najdôležitejšie. Pretože majú obmedzený vlastný prístup k Windows API, nástroj Ionescu vychádza ako vítaná núdzová rýchla oprava na rýchle riešenie problémov na jadre a na úrovni systému, ktoré by za normálnych okolností nebolo možné analyzovať.
Armádny nôž Ring 0 od Alexa Ionesca. GitHub
Pretože sa používajú iba predtým existujúce, vstavané funkcie a podpisy spoločnosti Microsoft podpísané spoločnosťou Microsoft, pričom všetky uvedené volané funkcie sú súčasťou bitmapy KCFG, tento nástroj neporušuje žiadne bezpečnostné kontroly, nevyžaduje eskaláciu privilégií ani nepoužíva žiadne 3rdvodičov strany, aby vykonali svoje činnosti. Tento nástroj pracuje na základnej štruktúre operačného systému presmerovaním toku vykonávania dôveryhodných kontrol písma správcu okien, aby dostával asynchrónne oznámenie o sledovaní udalostí pre Windows (ETW) na úplné vykonanie pracovnej položky (WORK_QUEUE_ITEM) na uvoľnenie vyrovnávacích pamätí v jadrovom režime a obnovenie normálnej prevádzky.
Pretože tento nástroj rieši obmedzenia ďalších takýchto funkcií v systéme Windows, prichádza s vlastnou sadou obmedzení. To sú však odborníci, s ktorými sú IT špecialisti ochotní zaoberať, pretože tento nástroj umožňuje úspešné vykonanie požadovaného základného procesu. Tieto obmedzenia spočívajú v tom, že nástroj dokáže načítať iba 4 GB dát naraz, naraz môže zapisovať až 32 bitov dát a vykonávať iba jednu skalárnu parametrickú funkciu. Tieto obmedzenia by sa dali ľahko prekonať, keby bol nástroj naprogramovaný iným spôsobom, ale Ionescu tvrdí, že sa rozhodol tento nástroj ponechať, pretože dokáže efektívne plniť to, čo je stanovené, a to je všetko, na čom záleží.
![[Oprava] „Chyba pri pripájaní k serveru“ v Runescape](https://jf-balio.pt/img/how-tos/87/error-connecting-server-runescape.png)
