Pwnie-toekennings 2019: Die belangrikste sekuriteitskwesbaarhede en -mislukkings

By die Black Hat USA-konferensie in Las Vegas plaasgevind Prysuitdeling Pwnie-toekennings 2019, wat die belangrikste kwesbaarhede en absurde mislukkings op die gebied van rekenaarsekuriteit uitlig. Die Pwnie-toekennings word as die ekwivalent van die Oscars en die Goue Framboos in rekenaarsekuriteit beskou en word sedert 2007 jaarliks ​​gehou.

Die belangrikste wenners и benoemings:

• Beste bedienerfout. Toegeken vir die identifisering en ontginning van die mees tegnies komplekse en interessante fout in 'n netwerkdiens. Die wenners is navorsers geïdentifiseer kwesbaarheid in Pulse Secure VPN-verskaffer, wie se VPN-diens deur Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, US Navy, US Department of Homeland Security (DHS) en waarskynlik die helfte van die maatskappye van die Fortune 500-lys. Navorsers het 'n agterdeur gevind wat 'n ongeverifieerde aanvaller toelaat om die wagwoord van enige gebruiker te verander. Demonstreer die vermoë om die probleem te ontgin om worteltoegang te verkry tot 'n VPN-bediener wat slegs 'n HTTPS-poort oop het;

  Van die aansoekers wat nie die toekenning ontvang het nie, kan daarop gelet word:

  • Bedryf op die stadium voor verifikasie kwesbaarheid in die Jenkins deurlopende integrasiestelsel, wat jou toelaat om kode op die bediener uit te voer. Die kwesbaarheid word aktief deur bots gebruik om cryptocurrency-mynbou op bedieners te organiseer;
  • krities kwesbaarheid in die Exim-posbediener, waarmee u kode op die bediener met wortelregte kan uitvoer;
  • Kwesbaarhede in Xiongmai XMeye P2P IP-kameras, sodat jy beheer oor die toestel kan neem. Die kameras is van 'n ingenieurswagwoord voorsien en het nie digitale handtekeningverifikasie gebruik wanneer die firmware opgedateer is nie;
  • krities kwesbaarheid in die implementering van die RDP-protokol in Windows, wat jou toelaat om jou kode op afstand uit te voer;
  • Kwesbaarheid in WordPress wat verband hou met die oplaai van PHP-kode wat as 'n beeld vermom is. Die probleem laat jou toe om arbitrêre kode op die bediener uit te voer, met die voorregte van die skrywer van publikasies (Outeur) op die webwerf;
• Beste fout in kliënt sagteware. Maklik bedryf kwesbaarheid in die Apple FaceTime-groepoproepstelsel, wat die inisieerder van 'n groepoproep toelaat om 'n gedwonge ontvangs van 'n oproep aan die kant van die gebelde party te inisieer (byvoorbeeld om te luister en te loer).

  Ook genomineer vir die toekenning:

  • Kwesbaarheid in WhatsApp, wat jou toelaat om die uitvoering van jou kode te bereik deur 'n spesiaal ontwerpte stemoproep te stuur;
  • Kwesbaarheid in die Skia-grafiese biblioteek wat in die Chrome-blaaier gebruik word, wat kan lei tot geheuekorrupsie as gevolg van swaaipuntfoute tydens sommige geometriese transformasies;
• Beste Privilege Eskalasie kwesbaarheid. Oorwinning toegeken vir onthulling kwesbaarhede in die iOS-kern, wat uitgebuit kan word deur ipc_voucher, toeganklik deur die Safari-blaaier.

  Ook genomineer vir die toekenning:

  • Kwesbaarheid in Windows, wat jou toelaat om volle beheer van die stelsel te neem deur die manipulasie van die CreateWindowEx-funksie (win32k.sys). Die probleem is geïdentifiseer tydens die ontleding van wanware wat die kwesbaarheid uitgebuit het voordat dit reggestel is;
  • Kwesbaarheid in runc en LXC, wat Docker en ander houer-isolasiestelsels beïnvloed, wat 'n geïsoleerde houer wat deur 'n aanvaller beheer word, toelaat om die runc-uitvoerbare lêer te verander en wortelvoorregte aan die gasheerstelselkant te verkry;
  • Kwesbaarheid in iOS (CFPrefsDaemon), wat jou toelaat om isolasiemodusse te omseil en kode as wortel uit te voer;
  • Kwesbaarheid in die uitgawe van die Linux TCP-stapel wat in Android gebruik word, wat die plaaslike gebruiker toelaat om hul voorregte op die toestel te verhef;
  • Kwesbaarhede in systemd-journald, wat jou toelaat om root-regte te kry;
  • Kwesbaarheid in die tmpreaper-hulpmiddel vir skoonmaak / tmp, waarmee u u lêer in enige deel van die lêerstelsel kan stoor;
• Die beste kriptografiese aanval. Toegeken vir die identifisering van die belangrikste foute in werklike stelsels, protokolle en enkripsie-algoritmes. Prys toegeken vir identifisering kwesbaarhede in WPA3 draadlose sekuriteitstegnologie en EAP-pwd, wat jou toelaat om die verbindingswagwoord te herskep en toegang tot die draadlose netwerk te verkry sonder om die wagwoord te ken.

  Ander benoemdes vir die toekenning was:

  • metode aanvalle op PGP- en S/MIME-enkripsie in e-poskliënte;
  • Aansoek 'n koue selflaaimetode vir toegang tot die inhoud van Bitlocker-geïnkripteer partisies;
  • Kwesbaarheid in OpenSSL, wat jou toelaat om die situasies van die ontvangs van verkeerde inkrementele opvulling en verkeerde MAC te skei. Die probleem word veroorsaak deur die verkeerde hantering van nulgrepe in padding oracle;
  • probleme met identiteitskaarte wat in Duitsland gebruik word deur SAML te gebruik;
  • probleem met die entropie van ewekansige getalle in die implementering van ondersteuning vir U2F-tokens in ChromeOS;
  • Kwesbaarheid in Monocypher, waardeur EdDSA-nulhandtekeninge as korrek erken is.
• Mees innoverende navorsing. Die prys is toegeken aan die ontwikkelaar van tegnologie Gevektoriseerde emulasie, wat AVX-512 vektorinstruksies gebruik om programuitvoering na te boots, wat dit moontlik maak om 'n aansienlike toename in die spoed van fuzzing-toetsing te bereik (tot 40-120 miljard instruksies per sekonde). Die tegniek laat elke SVE-kern toe om 8 64-bis of 16 32-bis virtuele masjiene te laat loop in parallel met instruksies vir fuzzing toepassingstoetsing.

  Die volgende is genomineer vir die toekenning:

  • Kwesbaarheid in Power Query-tegnologie van MS Excel, wat dit moontlik maak om kode-uitvoering te organiseer en toepassingsisolasiemetodes te omseil wanneer spesiaal ontwerpte sigblaaie oopgemaak word;
  • metode die selfvlieënier van Tesla-motors te bedrieg om 'n vertrek in die aankomende baan uit te lok;
  • Werk ASICS omgekeerde ingenieurswese van die Siemens S7-1200-skyfie;
  • SonarSnoop - 'n tegniek om die beweging van vingers op te spoor om die ontsluitkode van die telefoon te bepaal, gebaseer op die beginsel van sonarwerking - die boonste en onderste luidsprekers van die slimfoon genereer onhoorbare vibrasies, en die ingeboude mikrofone vang hulle op om die teenwoordigheid te ontleed van vibrasies wat deur die hand weerkaats word;
  • ontwerp in die NSA reverse engineering toolkit Ghidra;
  • SAFE - 'n tegniek vir die bepaling van die gebruik van kode van dieselfde funksies in verskeie uitvoerbare lêers gebaseer op die ontleding van binêre samestellings;
  • skepping 'n metode om die Intel Boot Guard-meganisme te omseil om gemodifiseerde UEFI-firmware te begin sonder verifikasie van digitale handtekening.
• Die laer reaksie van die verkoper (Lamest Vendor Response). Benoeming vir die mees onvanpaste reaksie op 'n kwesbaarheidsverslag in 'n mens se eie produk. Die wenners is die ontwikkelaars van die BitFi-kripto-beursie, wat skree oor die ultra-sekuriteit van hul produk, wat in werklikheid denkbeeldig geblyk het te wees, teister navorsers wat kwesbaarhede identifiseer en nie die beloofde bonusse betaal vir die identifisering van probleme nie;

  Onder die aanspraakmakers vir die toekenning is ook oorweeg:

  • 'n Sekuriteitsnavorser het die direkteur van Atrient daarvan beskuldig dat hy aangeval het om die verwydering van 'n kwesbaarheidsverslag te dwing, maar die direkteur ontken die voorval en toesigkameras het nie hierdie aanval opgeneem nie;
  • Zoom vertraag om 'n kritieke reg te stel kwesbaarhede op hul konferensiestelsel en het eers die probleem opgelos ná openbare bekendmaking. Die kwesbaarheid het 'n eksterne aanvaller in staat gestel om data van die webkameras van macOS-gebruikers te verkry wanneer 'n spesiaal ontwerpte bladsy in die blaaier oopgemaak word (zoem het 'n http-bediener aan die kliëntkant geloods wat opdragte van 'n plaaslike toepassing aanvaar).
  • Versuim oor 10 jaar om reg te maak die probleem met OpenPGP kriptografiese sleutelbedieners, met die argument dat die kode in 'n spesifieke OCaml-taal geskryf is en sonder 'n onderhouer bly.

  Mees opgejaagde kwesbaarheidsaankondiging. Toegeken vir die meeste patos en grootskaalse dekking van die probleem op die internet en in die media, veral as die kwesbaarheid as gevolg daarvan in die praktyk onontginbaar blyk te wees. Die toekenning is aan Bloomberg gegee vir aansoek oor die opsporing van spioenasieskyfies in Super Micro-borde, wat nie bevestig is nie, en die bron het heeltemal aangedui ander inligting.

  Die benoeming noem:

  • Kwesbaarheid in libssh dat geraak word enkelbedienertoepassings (libssh word byna nooit vir bedieners gebruik nie), maar is deur die NCC Groep voorgestel as 'n kwesbaarheid wat enige OpenSSH-bediener kan aanval.
  • Aanval met DICOM-beelde. Die slotsom is dat jy 'n uitvoerbare lêer vir Windows kan voorberei wat soos 'n geldige DICOM-beeld sal lyk. Hierdie lêer kan na 'n mediese toestel afgelaai en uitgevoer word.
  • Kwesbaarheid Thrangrycat, wat jou toelaat om die veilige selflaaimeganisme op Cisco-toestelle te omseil. Die kwesbaarheid word as 'n opgeblase probleem gekategoriseer omdat dit worteltoegang vereis om aan te val, maar as die aanvaller reeds worteltoegang kon verkry, oor watter soort sekuriteit kan ons dan praat. Die kwesbaarheid het gelyktydig gewen in die kategorie van die mees onderskatte probleme, aangesien dit jou toelaat om 'n permanente agterdeur in Flash bekend te stel;
• Die grootste mislukking (Mees epiese FAIL). Die oorwinning is aan Bloomberg toegeken vir 'n aantal opspraakwekkende artikels met hoëprofiel-opskrifte, maar het feite uitgedink, bronne weerhou, in samesweringsteorieë ingeskuif, terme soos "kuberwapens" en onaanvaarbare veralgemenings gebruik. Ander genomineerdes sluit in:
  • Shadowhammer-aanval op Asus-firmware-opdateringsdiens;
  • Hacking van 'n BitFi-berging wat as "onbreekbaar" geadverteer word;
  • Lekke van persoonlike data en tekens Facebook toegang.

Bron: opennet.ru