Награди Pwnie 2019: Най-значимите уязвимости и пропуски в сигурността

На конференцията Black Hat USA в Лас Вегас се състоя церемония по награждаване Награди Pwnie 2019, който подчертава най-значимите уязвимости и абсурдни провали в областта на компютърната сигурност. Наградите Pwnie се смятат за еквивалент на Оскарите и Златните малинки в областта на компютърната сигурност и се провеждат ежегодно от 2007 г. насам.

Основната победители и номинации:

• Най-добрата сървърна грешка. Награждава се за идентифициране и използване на най-технически сложния и интересен бъг в мрежова услуга. Победители бяха изследователите разкри уязвимост в VPN доставчика Pulse Secure, чиято VPN услуга се използва от Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, американския флот, Министерството на вътрешната сигурност на САЩ (DHS) и вероятно половината от компании от списъка на Fortune 500. Изследователите са открили задна врата, която позволява на неавтентифициран нападател да промени паролата на всеки потребител. Демонстрирана е възможността за използване на проблема за получаване на root достъп до VPN сървър, на който е отворен само HTTPS портът;

  Сред кандидатите, които не получиха наградата, може да се отбележи следното:

  • Работи в етапа на предварителна автентификация уязвимост в системата за непрекъсната интеграция на Jenkins, която ви позволява да изпълнявате код на сървъра. Уязвимостта се използва активно от ботове за организиране на добив на криптовалута на сървъри;
  • Критичен уязвимост в пощенския сървър Exim, който ви позволява да изпълнявате код на сървъра с root права;
  • Уязвимости в Xiongmai XMeye P2P IP камери, което ви позволява да поемете контрола над устройството. Камерите бяха доставени с инженерна парола и не използваха проверка на цифров подпис при актуализиране на фърмуера;
  • Критичен уязвимост при внедряването на протокола RDP в Windows, който ви позволява дистанционно да изпълнявате вашия код;
  • Уязвимост в WordPress, свързан със зареждане на PHP код под прикритието на изображение. Проблемът ви позволява да изпълнявате произволен код на сървъра, като имате привилегиите на автора на публикации (Author) на сайта;
• Грешка в най-добрия клиентски софтуер. Победителят беше лесният за използване уязвимост в системата за групови повиквания на Apple FaceTime, което позволява на инициатора на групово повикване да принуди повикването да бъде прието от повикванията (например за подслушване и подслушване).

  Номинирани за наградата бяха още:

  • Уязвимост в WhatsApp, което ви позволява да изпълните своя код чрез изпращане на специално проектирано гласово повикване;
  • Уязвимост в графичната библиотека Skia, използвана в браузъра Chrome, което може да доведе до повреда на паметта поради грешки с плаваща запетая в някои геометрични трансформации;
• Най-доброто повишаване на уязвимостта на привилегиите. Победата беше присъдена за идентифициране уязвимости в ядрото на iOS, което може да се използва чрез ipc_voucher, достъпен през браузъра Safari.

  Номинирани за наградата бяха още:

  • Уязвимост в Windows, което ви позволява да получите пълен контрол над системата чрез манипулации с функцията CreateWindowEx (win32k.sys). Проблемът беше идентифициран по време на анализа на зловреден софтуер, който използва уязвимостта, преди да бъде коригиран;
  • Уязвимост в runc и LXC, засягащи Docker и други системи за изолиране на контейнери, позволявайки на изолиран контейнер, контролиран от нападател, да промени изпълнимия файл runc и да получи root права от страна на хост системата;
  • Уязвимост в iOS (CFPrefsDaemon), което ви позволява да заобикаляте режимите на изолация и да изпълнявате код с root права;
  • Уязвимост в изданието на Linux TCP стека, използван в Android, което позволява на локален потребител да повиши своите привилегии на устройството;
  • Уязвимости в systemd-journald, което ви позволява да получите root права;
  • Уязвимост в помощната програма tmpreaper за почистване /tmp, която ви позволява да запазите файла си във всяка част на файловата система;
• Най-добрата криптографска атака. Присъжда се за идентифициране на най-значимите пропуски в реални системи, протоколи и алгоритми за криптиране. Наградата беше присъдена за идентифициране уязвимости в технологията за сигурност на безжичната мрежа WPA3 и EAP-pwd, което ви позволява да създадете отново паролата за връзка и да получите достъп до безжичната мрежа, без да знаете паролата.

  Други кандидати за наградата бяха:

  • метод атаки срещу PGP и S/MIME криптиране в имейл клиенти;
  • Прилагане метод на студено зареждане за получаване на достъп до съдържанието на криптирани дялове на Bitlocker;
  • Уязвимост в OpenSSL, което ви позволява да разделите ситуациите на получаване на неправилно подпълване и неправилен MAC. Проблемът е причинен от неправилно обработване на нулеви байтове в оракул за допълване;
  • Проблеми с лични карти, използвани в Германия, използващи SAML;
  • проблем с ентропията на произволни числа при внедряването на поддръжка за U2F токени в ChromeOS;
  • Уязвимост в Monocypher, поради което нулевите подписи на EdDSA бяха разпознати като правилни.
• Най-иновативното изследване досега. Наградата беше присъдена на разработчика на технологията Векторизирана емулация, който използва векторни инструкции AVX-512 за емулиране на изпълнение на програма, позволявайки значително увеличаване на скоростта на тестване на fuzzing (до 40-120 милиарда инструкции в секунда). Техниката позволява на всяко CPU ядро ​​да изпълнява 8 64-битови или 16 32-битови виртуални машини паралелно с инструкции за fuzzing тестване на приложението.

  За наградата имаха право на участие:

  • Уязвимост в технологията Power Query от MS Excel, която ви позволява да организирате изпълнението на код и да заобиколите методите за изолиране на приложения при отваряне на специално проектирани електронни таблици;
  • метод подвеждане на автопилота на автомобили Tesla, за да провокира шофиране в насрещната лента;
  • Работа обратно инженерство на ASICS чип Siemens S7-1200;
  • SonarSnoop - техника за проследяване на движението на пръста за определяне на кода за отключване на телефона, базирана на принципа на работа на сонара - горните и долните високоговорители на смартфона генерират недоловими вибрации, а вградените микрофони ги улавят, за да анализират наличието на вибрации, отразени от ръка;
  • дизайн инструментариумът за обратно инженерство Ghidra на NSA;
  • SAFE — техника за определяне използването на код за идентични функции в няколко изпълними файла въз основа на анализ на двоични сборки;
  • създаване метод за заобикаляне на механизма Intel Boot Guard за зареждане на модифициран UEFI фърмуер без проверка на цифровия подпис.
• Най-куцата реакция от страна на продавача (Най-слабият отговор на доставчика). Номинация за най-неадекватен отговор на съобщение за уязвимост във вашия продукт. Победителите са разработчиците на крипто портфейла BitFi, които крещят за ултра-сигурността на своя продукт, който в действителност се оказа въображаем, тормозят изследователите, които идентифицират уязвимости, и не плащат обещаните бонуси за идентифициране на проблеми;

  Сред кандидатите за наградата също се считат:

  • Изследовател по сигурността обвини директора на Atrient, че го е атакувал, за да го принуди да премахне доклад за идентифицирана от него уязвимост, но директорът отрича инцидента и камерите за наблюдение не са записали атаката;
  • Zoom забави коригирането на критичен проблем уязвимости в своята конферентна система и коригира проблема едва след публично оповестяване. Уязвимостта позволи на външен атакуващ да получи данни от уеб камерите на потребителите на macOS при отваряне на специално проектирана страница в браузъра (Zoom стартира http сървър от страна на клиента, който получава команди от локалното приложение).
  • Липса на коригиране за повече от 10 години проблемът със сървъри за криптографски ключове OpenPGP, позовавайки се на факта, че кодът е написан на специфичен език OCaml и остава без поддръжка.

  Най-нашуменото съобщение за уязвимост досега. Присъжда се за най-жалкото и мащабно отразяване на проблема в интернет и медиите, особено ако уязвимостта в крайна сметка се окаже неизползваема на практика. Наградата беше присъдена на Bloomberg за приложение за идентифицирането на шпионски чипове в Super Micro платки, което не беше потвърдено, а източникът посочи абсолютно друга информация.

  Споменати в номинацията:

  • Уязвимост в libssh, която докоснато единични сървърни приложения (libssh почти никога не се използва за сървъри), но беше представен от NCC Group като уязвимост, която позволява атака на всеки OpenSSH сървър.
  • Атака с помощта на DICOM изображения. Въпросът е, че можете да подготвите изпълним файл за Windows, който ще изглежда като валидно DICOM изображение. Този файл може да бъде изтеглен на медицинското изделие и изпълнен.
  • Уязвимост Thrangrycat, което ви позволява да заобиколите механизма за защитено зареждане на устройства на Cisco. Уязвимостта се класифицира като преувеличен проблем, тъй като изисква root права за атака, но ако атакуващият вече е успял да получи root достъп, тогава за каква сигурност можем да говорим. Уязвимостта спечели и в категорията на най-подценяваните проблеми, тъй като ви позволява да въведете постоянна задна врата във Flash;
• Най-големият провал (Най-епичният FAIL). Победата бе присъдена на Bloomberg за поредица от сензационни статии с гръмки заглавия, но измислени факти, скриване на източници, навлизане в теории на конспирацията, използване на термини като „кибероръжия“ и неприемливи обобщения. Други номинирани включват:
  • Shadowhammer атака срещу услугата за актуализиране на фърмуера на Asus;
  • Хакване на BitFi трезор, рекламиран като „неподлежащ на хакване“;
  • Течове на лични данни и жетони достъп до Facebook.

Източник: opennet.ru