ProHoster > блог > Навіны інтэрнэту > Pwnie Awards 2019: найбольш істотныя ўразлівасці і правалы ў бяспецы

Pwnie Awards 2019: найбольш істотныя ўразлівасці і правалы ў бяспецы

На канферэнцыі Black Hat USA, якая прайшла ў Лас Вегасе. адбылася цырымонія ўручэння прэміі Узнагароды Pwnie 2019, у рамках якой выдзелены найбольш значныя ўразлівасці і абсурдныя правалы ў галіне камп'ютарнай бяспекі. Pwnie Awards лічыцца аналагам Оскара і Залатой маліны ў вобласці кампутарнай бяспекі і праводзіцца штогод, пачынальна з 2007 гады.

Асноўныя пераможцы и намінацыі:

  • Лепшая серверная памылка. Прысуджаецца за выяўленне і эксплуатацыю найболей тэхнічна складанай і цікавай памылкі ў сеткавым сэрвісе. Пераможцамі прызнаны даследчыкі, якія выявілі уразлівасць у VPN-правайдэра Pulse Secure, VPN-сэрвіс якога выкарыстоўваецца ў Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, Ваенна-марскіх сілах ЗША, Міністэрстве нацыянальнай бяспекі (МНБ) ЗША і верагодна ў палове кампаній з спісу Fortune 500. Даследнікамі быў знойдзены бэкдор, які дазваляе неаўтэнтыфікаванаму атакаваламу змяніць пароль любога карыстача. Прадэманстравана магчымасць эксплуатацыі праблемы для атрымання root-доступу да сервера VPN, на якім адчынены толькі порт HTTPS;

    З прэтэндэнтаў, якія не атрымалі прэмію, можна адзначыць:

    • Эксплуатаваная на стадыі да праходжання аўтэнтыфікацыі уразлівасць у сістэме бесперапыннай інтэграцыі Jenkins, якая дазваляе выканаць код на серверы. Уразлівасць актыўна выкарыстоўваецца ботамі для арганізацыі майнінгу криптовалюты на серверах;
    • Крытычная уразлівасць у паштовым серверы Exim, якая дазваляе выканаць код на серверы з правамі root;
    • ўразлівасці у IP-камерах Xiongmai XMeye P2P, якая дазваляе захапіць кіраванне прыладай. Камеры пастаўляліся з інжынерным паролем і не выкарыстоўвалі пры абнаўленні прашыўкі праверку па лічбавым подпісе;
    • Крытычная уразлівасць у рэалізацыі пратаколу RDP у Windows, якая дазваляе выдалена выканаць свой код;
    • ўразлівасць у WordPress, звязаная з загрузкай PHP-кода пад выглядам выявы. Праблема дазваляе выканаць адвольны код на серверы, маючы прывілеі аўтара публікацый (Author) на сайце;
  • Лепшая памылка ў кліенцкім ПЗ. Пераможцам прызнана лёгка эксплуатуемая уразлівасць у сістэме групавых выклікаў Apple FaceTime, якая дазваляе ініцыятару групавога выкліку ініцыяваць прымусовы прыём званка на баку выкліканага абанента (напрыклад, для праслухоўвання і падглядвання).

    На атрыманне прэміі таксама прэтэндавалі:

    • ўразлівасць у WhatsApp, якая дазваляе дабіцца выканання свайго кода праз адпраўку спецыяльна аформленага галасавога выкліку;
    • ўразлівасць у графічнай бібліятэцы Skia, выкарыстоўванай у браўзэры Chrome, якая можа прывесці да пашкоджання памяці з-за хібнасці аперацый з якая плавае кропкай пры некаторых геаметрычных пераўтварэннях;
  • Лепшая ўразлівасць, якая прыводзіць да павышэння прывілеяў. Перамога прысуджана за выяўленне уразлівасці у ядры iOS, якую можна эксплуатаваць праз ipc_voucher, даступным для звароту праз браўзэр Safari.

    На атрыманне прэміі таксама прэтэндавалі:

    • ўразлівасць у Windows, якая дазваляе атрымаць поўны кантроль за сістэмай праз маніпуляцыі з функцыяй CreateWindowEx (win32k.sys). Праблема была выяўлена падчас аналізу шкоднаснага ПА, які эксплуатаваў уразлівасць да яе выпраўлення;
    • ўразлівасць у runc і LXC, якая закранае Docker і іншыя сістэмы кантэйнернай ізаляцыі, якая дазваляе з падкантрольнага зламысніку ізаляванага кантэйнера змяніць выкананы файл runc і атрымаць root-прывілеі на боку хост-сістэмы;
    • ўразлівасць у iOS (CFPrefsDaemon), якая дазваляе абыйсці рэжымы ізаляцыі і выканаць код з правамі root;
    • ўразлівасць у рэдакцыі TCP-стэка Linux, выкарыстоўванага ў Android, якая дазваляе лакальнаму карыстачу падняць свае прывілеі на прыладзе;
    • ўразлівасці у systemd-journald, якія дазваляюць атрымаць правы root;
    • ўразлівасць ва ўтыліце tmpreaper для чысткі /tmp, якая дазваляе захаваць свой файл у любой частцы ФС;
  • Лепшы крыптаграфічны напад. Прысуджаецца за выяўленне найболей значных праломаў у рэальных сістэмах, пратаколах і алгарытмах шыфравання. Прэмія прысуджана за выяўленне уразлівасцяў у тэхналогіі абароны бесправадных сетак WPA3 і ў EAP-pwd, якія дазваляюць узнавіць пароль падлучэння і атрымаць доступ да бесправадной сеткі без ведання пароля.

    Прэтэндэнтамі на атрыманне прэміі таксама былі:

    • метад напады на шыфраванне PGP і S/MIME у паштовых кліентах;
    • Ужыванне метаду халоднай перазагрузкі для атрымання доступу да змесціва шыфраваных раздзелаў Bitlocker;
    • ўразлівасць у OpenSSL, якая дазваляе падзяляць сітуацыі атрымання некарэктнага дадатковага запаўнення і некарэктнага MAC. Праблема выклікана некарэктнай апрацоўкай нулявых байтаў у дадатковым запаўненні (padding oracle);
    • Праблемы з ужывальнымі ў Нямеччыне картамі ідэнтыфікацыі, выкарыстоўвалымі SAML;
    • праблема з энтрапіяй выпадковых лікаў у рэалізацыі падтрымкі токенаў U2F у СhromeOS;
    • ўразлівасць у Monocypher, з-за якой прызнаваліся карэктнымі нулявыя сігнатуры EdDSA.
  • Найбольш інавацыйнае даследаванне. Прэмія прысуджана распрацоўніку тэхнікі Vectorized Emulation, Якая выкарыстоўвае вектарныя інструкцыі AVX-512 для эмуляцыі выканання праграм, якая дазваляе дамагчыся істотнага павелічэння хуткасці fuzzing-тэставанні (да 40-120 мільярдаў інструкцый у секунду). Тэхнікі дазваляе на кожным ядры СPU паралельна выконваць 8 64-разрадных ці 16 32-разрадных віртуальных машын з інструкцыямі для fuzzing-тэставанні прыкладання.

    На атрыманне прэміі прэтэндавалі:

    • ўразлівасць у тэхналогіі Power Query з MS Excel, якая дазваляе арганізаваць выкананне кода і абыход метадаў ізаляцыі прыкладанняў пры адкрыцці спецыяльна аформленых электронных табліц;
    • метад падману аўтапілота аўтамабіляў Tesla для правакавання выезду на сустрэчную паласу руху;
    • Праца па зваротным інжынірынгу ASICS чыпа Siemens S7-1200;
    • SonarSnoop – тэхніка адсочвання руху пальцаў для вызначэння кода разблакіроўкі тэлефона, заснаваная на прынцыпе працы сонара – верхні і ніжні дынамікі смартфона генеруюць нячутныя ваганні, а ўбудаваныя мікрафоны ўлоўліваюць іх для аналізу наяўнасці адлюстраваных ад рукі ваганняў;
    • Распрацоўка у АНБ інструментара для зваротнага інжынірынгу Ghidra;
    • SAFE - тэхніка вызначэння выкарыстання кода аднолькавых функцый у некалькіх выкананых файлах на аснове аналізу бінарных зборак;
    • стварэнне метаду абыходу механізму Intel Boot Guard для загрузкі мадыфікаваных UEFI-прашывак без праверкі па лічбавым подпісе.
  • Самая ламерская рэакцыя вендара (Lamest Vendor Response). Намінацыя за самую неадэкватную рэакцыю на паведамленне аб уразлівасці ва ўласным прадукце. Пераможцам прызнаныя распрацоўнікі криптокошелька BitFi, якія крычаць аб звышбяспецы свайго прадукта, якая на справе апынулася ўяўнай, якія ўладкоўваюць ганенне на даследнікаў, выяўлялых уразлівасці, і не што выплачваюць абяцаныя прэміі за выяўленне праблем;

    Сярод прэтэндэнтаў на атрыманне прэміі таксама разглядаліся:

    • Даследчык бяспекі абвінаваціў дырэктара Atrient у нападзе для таго, каб прымусіць выдаліць справаздачу аб выяўленай ім уразлівасці, але дырэктар адмаўляе інцыдэнт і камеры назірання не зафіксавалі гэты напад;
    • Кампанія Zoom адцягвала выпраўленне крытычнай уразлівасці у сваёй сістэме канферэнц-сувязі і выправіла праблему толькі пасля публічнай агалоскі. Уразлівасць дазваляла вонкаваму атакаваламу атрымаць дадзеныя з web-камер карыстачоў macOS пры адкрыцці ў браўзэры адмысловай аформленай старонкі (zoom запускаў на боку кліента http-сервер, які прымае каманды ад лакальнага прыкладання).
    • Няздольнасць больш за 10 гадоў выправіць праблему c серверамі крыптаграфічных ключоў OpenPGP, матывуючы тым, што код напісаны на спецыфічнай мове OCaml і застаецца без суправаджаючага.

    Найбольш разадзьмутую аб'яву аб уразлівасці. Прысуджаецца за найбольш пафаснае і маштабнае асвятленне праблемы ў інтэрнэце і СМІ, асабліва калі ў выніку ўразлівасць аказваецца неэксплутаваная на практыцы. Прэмія прысуджана выданню Bloomberg за заяву аб выяўленні шпіёнскіх чыпаў у поплатках Super Micro, якое не пацвердзілася, а крыніца паказала зусім іншую інфармацыю.

    У намінацыі згаданыя:

    • Уразлівасць у libssh, якая закранала адзінкавыя серверныя прыкладанні (libssh амаль не выкарыстоўваецца для сервераў), але была паднесена NCC Group як уразлівасць, якая дазваляе атакаваць любы сервер OpenSSH.
    • Атака з выкарыстаннем відарысаў у фармаце DICOM. Сутнасць у тым, што можна падрыхтаваць выкананы файл для Windows, які будзе выглядаць як валідны малюнак у фармаце DICOM. Гэты файл можна загрузіць на медыцынскую прыладу і выканаць.
    • ўразлівасць Thrangrycat, якая дазваляе абыйсці механізм бяспечнай загрузкі на прыладах Cisco. Уразлівасць аднесеная ў катэгорыю разадзьмутых праблем бо патрабуе для нападу мае рацыю root, але калі атакавалы ўжо змог атрымаць root-доступ, то пра якую бяспеку можа ісці прамову. Уразлівасць адначасова перамагла ў катэгорыі самых недаацэненых праблем, бо дазваляе ўкараніць сталы бэкдор ва Flash;
  • Самы вялікі правал (Most Epic FAIL). Перамога прысуджана выданню Bloomberg за шэраг сенсацыйных артыкулаў c гучнымі загалоўкамі, але прыдуманымі фактамі, замоўчваннем крыніц, скочваннем у тэорыю змоў, выкарыстаннем такіх тэрмінаў, як "кіберзброя", і недапушчальнымі абагульненнямі. Сярод іншых намінантаў:
    • Атака Shadowhammer на сэрвіс абнаўлення прашывак Asus;
    • Узлом сховішчы BitFi, разрэкламаванага як «неўзломнае»;
    • Уцечкі персанальных дадзеных і токенаў доступу ў Facebook.

Крыніца: opennet.ru

Дадаць каментар