ProHoster > Блог > internet vijesti > Pwnie Awards 2019: Najznačajnije sigurnosne ranjivosti i propusti

Pwnie Awards 2019: Najznačajnije sigurnosne ranjivosti i propusti

Na konferenciji Black Hat USA u Las Vegasu održan dodjela nagrada Pwnie nagrade 2019, koji ističe najznačajnije ranjivosti i apsurdne propuste u oblasti računarske bezbednosti. Pwnie nagrade se smatraju ekvivalentom Oskara i Zlatnih malina u oblasti kompjuterske bezbednosti i održavaju se svake godine od 2007.

Glavni pobednici и nominacije:

  • Najbolji serverski bug. Dodjeljuje se za identifikaciju i iskorištavanje tehnički najsloženije i najzanimljivije greške u mrežnoj usluzi. Pobjednici su bili istraživači otkriveno ranjivost u VPN provajderu Pulse Secure, čiju VPN uslugu koriste Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, američka mornarica, Ministarstvo domovinske sigurnosti SAD-a (DHS) i vjerovatno polovina kompanije sa liste Fortune 500. Istraživači su pronašli backdoor koji omogućava neautorizovanom napadaču da promeni lozinku bilo kog korisnika. Demonstrirana je mogućnost iskorištavanja problema za dobivanje root pristupa VPN serveru na kojem je otvoren samo HTTPS port;

    Među kandidatima koji nisu dobili nagradu mogu se istaći:

    • Radi u fazi pre-autentifikacije ranjivost u sistemu kontinuirane integracije Jenkins, koji vam omogućava da izvršite kod na serveru. Ranjivost aktivno koriste botovi za organizaciju rudarenja kriptovaluta na serverima;
    • Kritično ranjivost u Exim serveru pošte, koji vam omogućava da izvršite kod na serveru sa root pravima;
    • Ranjivosti u Xiongmai XMeye P2P IP kamerama, što vam omogućava da preuzmete kontrolu nad uređajem. Kamere su dobile inženjersku lozinku i nisu koristile verifikaciju digitalnog potpisa prilikom ažuriranja firmvera;
    • Kritično ranjivost u implementaciji RDP protokola u Windows, koji vam omogućava daljinsko izvršavanje vašeg koda;
    • Ranjivost u WordPress-u, povezano sa učitavanjem PHP koda pod maskom slike. Problem vam omogućava da izvršite proizvoljan kod na serveru, imajući privilegije autora publikacija (autora) na sajtu;
  • Greška najboljeg klijentskog softvera. Pobjednik je bio jednostavan za korištenje ranjivost u Apple FaceTime sistemu grupnog pozivanja, omogućavajući inicijatoru grupnog poziva da prisili pozvanu stranu da poziv prihvati (na primjer, za slušanje i njuškanje).

    Za nagradu su bili nominovani i:

    • Ranjivost u WhatsApp-u, koji vam omogućava da izvršite svoj kod slanjem posebno dizajniranog glasovnog poziva;
    • Ranjivost u biblioteci grafike Skia koja se koristi u pregledniku Chrome, što može dovesti do oštećenja memorije zbog grešaka s plutajućim zarezom u nekim geometrijskim transformacijama;
  • Najbolja ranjivost privilegija. Pobjeda je dodijeljena za identifikaciju ranjivosti u iOS kernelu, koji se može iskoristiti putem ipc_voucher, dostupnog preko Safari pretraživača.

    Za nagradu su bili nominovani i:

    • Ranjivost u Windows-u, što vam omogućava da dobijete potpunu kontrolu nad sistemom kroz manipulacije sa funkcijom CreateWindowEx (win32k.sys). Problem je identifikovan tokom analize malvera koji je iskoristio ranjivost pre nego što je popravljen;
    • Ranjivost u runc i LXC, utičući na Docker i druge sisteme za izolaciju kontejnera, dozvoljavajući izolovanom kontejneru koji kontroliše napadač da promeni izvršnu datoteku runc i dobije root privilegije na strani host sistema;
    • Ranjivost u iOS-u (CFPrefsDaemon), koji vam omogućava da zaobiđete izolacijske modove i izvršite kod s root pravima;
    • Ranjivost u izdanju Linux TCP steka koji se koristi u Androidu, omogućavajući lokalnom korisniku da podigne svoje privilegije na uređaju;
    • Ranjivosti u systemd-journald, koji vam omogućava da dobijete root prava;
    • Ranjivost u tmpreaper uslužnom programu za čišćenje /tmp, koji vam omogućava da sačuvate datoteku u bilo kom delu sistema datoteka;
  • Najbolji kriptografski napad. Dodeljuje se za identifikaciju najznačajnijih nedostataka u stvarnim sistemima, protokolima i algoritmima za šifrovanje. Nagrada je dodijeljena za identifikaciju ranjivosti u tehnologiji zaštite bežične mreže WPA3 i EAP-pwd, koji vam omogućava da ponovo kreirate lozinku za povezivanje i dobijete pristup bežičnoj mreži bez poznavanja lozinke.

    Ostali kandidati za nagradu su bili:

    • Metoda napadi na PGP i S/MIME enkripciju u klijentima e-pošte;
    • Aplikacija metod hladnog pokretanja za pristup sadržaju šifrovanih Bitlocker particija;
    • Ranjivost u OpenSSL-u, koji vam omogućava da odvojite situacije primanja neispravnog dopuna i pogrešnog MAC-a. Problem je uzrokovan nepravilnim rukovanjem nula bajtova u proročištu za popunjavanje;
    • Problemi sa ličnim kartama koje se koriste u Njemačkoj koristeći SAML;
    • problem sa entropijom slučajnih brojeva u implementaciji podrške za U2F tokene u ChromeOS-u;
    • Ranjivost u Monocypheru, zbog čega su nulti EdDSA potpisi prepoznati kao ispravni.
  • Najinovativnije istraživanje ikada. Nagrada je dodijeljena developeru tehnologije Vektorizovana emulacija, koji koristi AVX-512 vektorske instrukcije za emulaciju izvršavanja programa, omogućavajući značajno povećanje brzine fuzing testiranja (do 40-120 milijardi instrukcija u sekundi). Tehnika omogućava da svako CPU jezgro pokreće 8 64-bitnih ili 16 32-bitnih virtuelnih mašina paralelno sa uputstvima za fuzzing testiranje aplikacije.

    Pravo na nagradu su imali:

    • Ranjivost u tehnologiji Power Query iz MS Excel-a, koja vam omogućava da organizirate izvršavanje koda i zaobiđete metode izolacije aplikacija prilikom otvaranja posebno dizajniranih tabela;
    • Metoda obmanjivanje autopilota Tesla automobila da izazove vožnju u nadolazeću traku;
    • rad obrnuti inženjering ASICS čipa Siemens S7-1200;
    • SonarSnoop - tehnika praćenja pokreta prsta za određivanje koda za otključavanje telefona, na osnovu principa rada sonara - gornji i donji zvučnik pametnog telefona generiraju nečujne vibracije, a ugrađeni mikrofoni ih hvataju kako bi analizirali prisutnost vibracija koje se reflektiraju od ruka;
    • Razvoj NSA-in Ghidra alat za obrnuti inženjering;
    • SIGURNO — tehnika za određivanje upotrebe koda za identične funkcije u nekoliko izvršnih datoteka na osnovu analize binarnih sklopova;
    • stvaranje metoda za zaobilaženje mehanizma Intel Boot Guard za učitavanje modificiranog UEFI firmvera bez provjere digitalnog potpisa.
  • Najjadnija reakcija prodavca (Najslabiji odgovor dobavljača). Nominacija za najneadekvatniji odgovor na poruku o ranjivosti u vlastitom proizvodu. Pobjednici su programeri BitFi kripto novčanika, koji viču o ultra-sigurnosti svog proizvoda, koji se u stvarnosti pokazao izmišljenim, maltretiraju istraživače koji identificiraju ranjivosti, a ne plaćaju obećane bonuse za identificiranje problema;

    Među prijavljenima za nagradu smatra se i:

    • Istraživač sigurnosti optužio je direktora Atrienta da ga je napao kako bi ga natjerao da ukloni izvještaj o ranjivosti koju je identifikovao, ali direktor negira incident i nadzorne kamere nisu snimile napad;
    • Zoom je odložio rješavanje kritičnog problema ranjivosti u svom konferencijskom sistemu i otklonio problem tek nakon objavljivanja javnosti. Ranjivost je omogućila eksternom napadaču da dobije podatke sa web kamera korisnika macOS-a prilikom otvaranja posebno dizajnirane stranice u pretraživaču (Zoom je pokrenuo http server na strani klijenta koji je primao komande od lokalne aplikacije).
    • Neispravka više od 10 godina problem sa OpenPGP serverima kriptografskih ključeva, navodeći činjenicu da je kod napisan na određenom OCaml jeziku i ostaje bez održavaoca.

    Najveća najava ranjivosti do sada. Dodjeljuje se za najpatetičnije i najšire izvještavanje o problemu na internetu i medijima, posebno ako se ranjivost na kraju pokaže kao neiskorištena u praksi. Nagrada je dodijeljena Bloombergu za izjava o identifikaciji špijunskih čipova u Super Micro pločama, što nije potvrđeno, a izvor je apsolutno naveo ostale informacije.

    Navedeno u nominaciji:

    • Ranjivost u libssh, koji dotaknuto aplikacije sa jednim serverom (libssh se skoro nikada ne koristi za servere), ali ga je NCC grupa predstavila kao ranjivost koja omogućava napad na bilo koji OpenSSH server.
    • Napad pomoću DICOM slika. Poenta je da možete pripremiti izvršnu datoteku za Windows koja će izgledati kao valjana DICOM slika. Ovaj fajl se može preuzeti na medicinski uređaj i izvršiti.
    • Ranjivost Thrangrycat, koji vam omogućava da zaobiđete mehanizam bezbednog pokretanja na Cisco uređajima. Ranjivost je klasifikovana kao prenapuhan problem jer zahtijeva root prava za napad, ali ako je napadač već mogao dobiti root pristup, o kakvoj sigurnosti onda možemo govoriti. Ranjivost je takođe pobedila u kategoriji najpotcenjenijih problema, jer vam omogućava da uvedete trajni backdoor u Flash;
  • Najveći neuspjeh (Most Epic FAIL). Pobjeda je dodijeljena Bloombergu za seriju senzacionalnih članaka sa glasnim naslovima, ali izmišljenim činjenicama, zataškavanjem izvora, spuštanjem u teorije zavjere, upotrebom termina kao što je "cyber oružje" i neprihvatljivim generalizacijama. Ostali nominovani su:
    • Shadowhammer napad na Asus uslugu ažuriranja firmvera;
    • Hakovanje BitFi trezora koji se reklamira kao „nehakovan“;
    • Curenje ličnih podataka i tokens pristup Facebooku.

izvor: opennet.ru

Dodajte komentar