A la conferència Black Hat USA a Las Vegas cerimònia de lliurament de premis , que destaca les vulnerabilitats més significatives i les falles absurdes en l'àmbit de la seguretat informàtica. Els Premis Pwnie es consideren l'equivalent dels Oscars i els Golden Raspberries en l'àmbit de la seguretat informàtica i se celebren anualment des del 2007.
El principal и :
- Millor error del servidor. Atorgat per identificar i explotar l'error més complex i interessant tècnicament en un servei de xarxa. Els guanyadors van ser els investigadors vulnerabilitat al proveïdor de VPN Pulse Secure, el servei VPN del qual és utilitzat per Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, la Marina dels EUA, el Departament de Seguretat Nacional (DHS) dels EUA i probablement la meitat de la empreses de la llista Fortune 500. Els investigadors han trobat una porta del darrere que permet a un atacant no autenticat canviar la contrasenya de qualsevol usuari. S'ha demostrat la possibilitat d'aprofitar el problema per obtenir accés root a un servidor VPN en el qual només està obert el port HTTPS;
Entre els candidats que no han rebut el premi, es poden destacar els següents:
- Operat en l'etapa de pre-autenticació al sistema d'integració contínua de Jenkins, que us permet executar codi al servidor. Els robots utilitzen activament la vulnerabilitat per organitzar la mineria de criptomonedes als servidors;
- Crític al servidor de correu Exim, que permet executar codi al servidor amb drets root;
- a les càmeres IP Xiongmai XMeye P2P, que us permeten prendre el control del dispositiu. Les càmeres es van subministrar amb una contrasenya d'enginyeria i no van utilitzar la verificació de signatura digital en actualitzar el microprogramari;
- Crític en la implementació del protocol RDP a Windows, que us permet executar el vostre codi de manera remota;
- a WordPress, associat amb la càrrega de codi PHP sota l'aparença d'una imatge. El problema us permet executar codi arbitrari al servidor, tenint els privilegis de l'autor de les publicacions (Autor) al lloc;
- Millor error del programari del client. El guanyador va ser el fàcil d'utilitzar al sistema de trucades de grup d'Apple FaceTime, que permet que l'iniciador d'una trucada de grup forci la trucada perquè la persona trucada l'accepti (per exemple, per escoltar i espiar).
També van ser nominats per al premi:
- a WhatsApp, que et permet executar el teu codi enviant una trucada de veu especialment dissenyada;
- a la biblioteca de gràfics Skia que s'utilitza al navegador Chrome, que pot provocar una corrupció de la memòria a causa d'errors de coma flotant en algunes transformacions geomètriques;
- Millor elevació de la vulnerabilitat de privilegis. La victòria es va atorgar per identificar-se al nucli iOS, que es pot explotar mitjançant ipc_voucher, accessible mitjançant el navegador Safari.
També van ser nominats per al premi:
- a Windows, que us permet obtenir el control total del sistema mitjançant manipulacions amb la funció CreateWindowEx (win32k.sys). El problema es va identificar durant l'anàlisi del programari maliciós que explotava la vulnerabilitat abans que es solucionés;
- en runc i LXC, afectant Docker i altres sistemes d'aïllament de contenidors, permetent que un contenidor aïllat controlat per un atacant canviï el fitxer executable runc i guanyi privilegis d'arrel al costat del sistema amfitrió;
- a iOS (CFPrefsDaemon), que us permet evitar els modes d'aïllament i executar codi amb drets d'arrel;
- a l'edició de la pila TCP de Linux utilitzada a Android, que permet a un usuari local elevar els seus privilegis al dispositiu;
- a systemd-journald, que us permet obtenir drets d'arrel;
- a la utilitat tmpreaper per netejar /tmp, que us permet desar el vostre fitxer a qualsevol part del sistema de fitxers;
- Millor atac criptogràfic. Atorgat per identificar els buits més significatius en sistemes reals, protocols i algorismes de xifratge. El premi va ser atorgat per la identificació en tecnologia de seguretat de xarxa sense fil WPA3 i EAP-pwd, que permet recrear la contrasenya de connexió i accedir a la xarxa sense fil sense saber-ne la contrasenya.
Altres candidats al premi van ser:
- atacs al xifratge PGP i S/MIME en clients de correu electrònic;
- mètode d'arrencada en fred per accedir al contingut de les particions Bitlocker xifrades;
- a OpenSSL, que permet separar les situacions de recepció de farciment incorrectes i MAC incorrectes. El problema és causat per un maneig incorrecte de zero bytes a l'oracle de farciment;
- amb targetes d'identificació utilitzades a Alemanya amb SAML;
- amb l'entropia de números aleatoris en la implementació del suport per a fitxes U2F a ChromeOS;
- a Monocypher, a causa del qual les signatures EdDSA nul·les es van reconèixer com a correctes.
- La investigació més innovadora mai. El premi es va atorgar al desenvolupador de la tecnologia , que utilitza instruccions vectorials AVX-512 per emular l'execució del programa, permetent un augment significatiu de la velocitat de prova de fuzzing (fins a 40-120 mil milions d'instruccions per segon). La tècnica permet que cada nucli de CPU executi 8 màquines virtuals de 64 bits o 16 de 32 bits en paral·lel amb instruccions per a les proves difuses de l'aplicació.
Van optar al premi els següents:
- en la tecnologia Power Query de MS Excel, que permet organitzar l'execució de codi i evitar els mètodes d'aïllament d'aplicacions en obrir fulls de càlcul especialment dissenyats;
- enganyar el pilot automàtic dels cotxes Tesla per provocar la conducció al carril contrari;
- enginyeria inversa del xip ASICS Siemens S7-1200;
- - Tècnica de seguiment del moviment dels dits per determinar el codi de desbloqueig del telèfon, basat en el principi de funcionament del sonar - els altaveus superiors i inferiors del telèfon intel·ligent generen vibracions inaudibles i els micròfons integrats les recullen per analitzar la presència de vibracions reflectides del mà;
- el conjunt d'eines d'enginyeria inversa Ghidra de la NSA;
- — una tècnica per determinar l'ús de codi per a funcions idèntiques en diversos fitxers executables basant-se en l'anàlisi de conjunts binaris;
- un mètode per evitar el mecanisme d'Intel Boot Guard per carregar el microprogramari UEFI modificat sense verificar la signatura digital.
- La reacció més coixa d'un venedor (Lamest Vendor Response). Nominació per a la resposta més inadequada a un missatge sobre una vulnerabilitat en el vostre propi producte. Els guanyadors són els desenvolupadors de la cartera criptogràfica BitFi, que criden sobre la ultraseguretat del seu producte, que en realitat va resultar ser imaginari, assetgen els investigadors que identifiquen vulnerabilitats i no paguen les bonificacions promeses per identificar problemes;
Entre els sol·licitants del premi també es van considerar:
- Un investigador de seguretat va acusar el director d'Atrient d'haver-lo atacat per obligar-lo a retirar un informe sobre una vulnerabilitat que va identificar, però el director nega l'incident i les càmeres de vigilància no van gravar l'atac;
- Zoom retardat per solucionar un problema crític en el seu sistema de conferències i va corregir el problema només després de la divulgació pública. La vulnerabilitat va permetre a un atacant extern obtenir dades de les càmeres web dels usuaris de macOS en obrir una pàgina especialment dissenyada al navegador (Zoom va llançar un servidor http al costat del client que rebia ordres de l'aplicació local).
- No corregir durant més de 10 anys amb servidors de claus criptogràfiques OpenPGP, citant el fet que el codi està escrit en un llenguatge OCaml específic i es manté sense un responsable.
L'anunci de vulnerabilitat més popular fins ara. Atorgat per la cobertura més patètica i a gran escala del problema a Internet i als mitjans de comunicació, sobretot si la vulnerabilitat finalment resulta inexplotable a la pràctica. El premi va ser atorgat a Bloomberg per sobre la identificació de xips espia a les plaques Super Micro, que no es va confirmar, i la font va indicar absolutament .
Esmentat a la nominació:
- Vulnerabilitat en libssh, que aplicacions d'un sol servidor (libssh gairebé mai s'utilitza per als servidors), però el Grup NCC la va presentar com una vulnerabilitat que permet atacar qualsevol servidor OpenSSH.
- Atacar amb imatges DICOM. La qüestió és que podeu preparar un fitxer executable per a Windows que sembli una imatge DICOM vàlida. Aquest fitxer es pot descarregar al dispositiu mèdic i executar-lo.
- Vulnerabilitat , que us permet evitar el mecanisme d'arrencada segur als dispositius Cisco. La vulnerabilitat es classifica com un problema exagerat perquè requereix drets d'arrel per atacar, però si l'atacant ja va poder obtenir accés d'arrel, de quina seguretat podem parlar. La vulnerabilitat també va guanyar en la categoria dels problemes més infravalorats, ja que permet introduir una porta posterior permanent a Flash;
- El fracàs més gran (FAIL més èpic). La victòria va ser atorgada a Bloomberg per una sèrie d'articles sensacionals amb titulars forts però fets inventats, supressió de fonts, descens a teories de la conspiració, ús de termes com "ciberarmes" i generalitzacions inacceptables. Altres nominats inclouen:
- Shadowhammer atac al servei d'actualització del microprogramari Asus;
- Piratejar una volta de BitFi anunciada com a "no piratejable";
- Fugades de dades personals i accés a Facebook.
Font: opennet.ru