ソフトペディア
CrowdStrike、Inc。のEDR戦略担当副社長であるAlex Ionescuのツイートで、Black Hat USA2018情報セキュリティ会議に間に合うようにGitHubでRing0 Army Knife(r0ak)のリリースを発表しました。彼は、このツールがドライバーレスで、すべてのWindowsドメインシステム(Windows 8以降)に組み込まれていると説明しました。このツールを使用すると、ハイパーバイザーコード整合性(HVCI)、セキュアブート、およびWindows Defenderアプリケーションガード(WDAG)環境で、リング0の読み取り、書き込み、およびデバッグを実行できます。これらの環境では、自然に実現するのが難しい場合があります。
ジャストインタイム #黒い帽子 、リング0アーミーナイフ(r0ak)をでリリースしました https://t.co/ILcO7MoSw3 。完全なドライバーレスの組み込みのWindows8 + Ring0ローカルデバッグをセットアップできないことが多いHVCI /セキュアブート/ WDAG環境用の任意の読み取り/書き込み/実行デバッグツール。 pic.twitter.com/bPlSDBVoRr
--Alex Ionescu(@aionescu) 2018年8月6日
アレックスイオネスクは 話す ラスベガスのマンダレイベイで8月4日から9日に予定されている今年のBlackHatUSAカンファレンスで。 8月4日から7日は技術トレーニングワークショップで構成され、8月8日と9日は最新の研究を共有することを期待して、Ionescuを含むITセキュリティの世界の主要な名前のスピーチ、ブリーフィング、プレゼンテーション、ビジネスホールが見られます。 、開発、およびITセキュリティコミュニティ間の傾向。 Alex Ionescuは、「Windows通知機能:これまでで最も文書化されていないカーネル攻撃対象領域のタマネギを剥がす」というタイトルの講演を行っています。彼のプレトークリリースは、彼が話したいことの路地のすぐ上にあるようです。
オープンソースツールとゼロデイエクスプロイトはこの会議で公然と共有されることが期待されており、IonescuがWindows用の無料のRing 0読み取り、書き込み、およびデバッグ実行ツールを発表したばかりのようです。 Windowsプラットフォームで直面する最大の課題には、ITトラブルシューティングで最も重要なWindowsデバッガーとSysInternalツールの制限が含まれます。 Windows APIへの独自のアクセスが制限されているため、Ionescuのツールは、通常は分析できないカーネルおよびシステムレベルの問題をすばやくトラブルシューティングするための、歓迎すべき緊急修正プログラムとして提供されます。
アレックスイオネスクによるリング0アーミーナイフ。 GitHub
既存の組み込みのMicrosoft署名済みWindows機能のみが採用されており、呼び出されたすべての関数はKCFGビットマップの一部であるため、このツールはセキュリティチェックに違反したり、特権の昇格を要求したり、3を使用したりすることはありません。rdその操作を実行するために党の運転手。このツールは、ウィンドウマネージャーの信頼できるフォント検証チェックの実行フローをリダイレクトして、解放のための作業項目(WORK_QUEUE_ITEM)の完全な実行に関するEvent Tracing for Windows(ETW)非同期通知を受信することにより、オペレーティングシステムの基本構造で動作します。カーネルモードバッファの復元と通常の操作の復元。
このツールは、Windowsの他のそのような機能の制限を解決するため、独自の一連の制限があります。ただし、これらは、ツールによって必要な基本プロセスを正常に実行できるため、ITスペシャリストが喜んで対処するものです。これらの制限は、ツールが一度に4GBのデータしか読み取れず、一度に最大32ビットのデータを書き込み、1つのスカラーパラメーター関数のみを実行できることです。これらの制限は、ツールが別の方法でプログラムされていれば簡単に克服できたはずですが、Ionescuは、ツールが効率的に実行するように設定されていることを実行できるため、ツールをこのように維持することを選択したと主張しています。
