Sicherheitsforscher Alex Ionescu hat im Vorfeld der BlackHat-Konferenz sein Ring 0 Army Knife (r0ak) für Windows ab Version 8.0 und höher veröffentlicht. Hier einige kurze Informationen zum Thema.
Anzeige
Der Beitrag dürfte für Leute von Interesse sein, die sich mit dem Windows-Kernel befassen. Das Lesen, Schreiben oder Ausführen von Windows-Kernelcode zum Debuggen oder zur Suche nach Schwachstellen ist mit gewissen Problemen verbunden oder ein lokales Debuggen ist sogar unmöglich. Gestern bin ich auf Twitter auf die Ankündigung von Alex Ionescu gestoßen.
Just in time for #BlackHat, I've released the Ring 0 Army Knife (r0ak) at https://t.co/ILcO7MoSw3. Full driver-less, built-in, Windows 8+ Ring 0 arbitrary read/write/execute debugging tool for HVCI/Secure Boot/WDAG environments where local debugging is often impossible to set up. pic.twitter.com/bPlSDBVoRr
— Alex Ionescu (@aionescu) 6. August 2018
Alex Ionescu hat ein 'Schweizer-Messer' (Swiss Army Knife) für den Ring 0 des Windows-Kernels veröffentlicht. Laut der GitHub-Beschreibung (Link gebrochen) ist r0ak ein Windows-Befehlszeilen-Dienstprogramm, mit dem Sie Kernel-Modus-Code (mit einigen Einschränkungen) von der Eingabeaufforderung aus lesen, schreiben und ausführen können, ohne etwas anderes als Administratorrechte zu benötigen. Der GitHub-Beitrag enthält eine ausführlichere Beschreibung des roak-Kits. Wenn ich aber nichts übersehen habe, muss man sich das Projekt mit Visual C selbst compilieren, um die r0ak.exe zu bekommen.
Anzeige