ProHoster > Блог > balita sa internet > Pwnie Awards 2019: Labing Mahinungdanon nga Kakulangan sa Seguridad ug Kapakyasan

Pwnie Awards 2019: Labing Mahinungdanon nga Kakulangan sa Seguridad ug Kapakyasan

Sa komperensya sa Black Hat USA sa Las Vegas nahitabo award seremonyas Pwnie Awards 2019, nga nagpasiugda sa labing mahinungdanon nga mga kahuyangan ug dili makatarunganon nga mga kapakyasan sa natad sa seguridad sa kompyuter. Ang Pwnie Awards gikonsiderar nga katumbas sa Oscars ug Golden Raspberries sa natad sa computer security ug gihimo matag tuig sukad 2007.

nag-unang mga mananaog и mga nominasyon:

  • Labing maayo nga server bug. Gihatagan alang sa pag-ila ug pagpahimulos sa labing teknikal nga komplikado ug makapaikag nga bug sa usa ka serbisyo sa network. Ang mga mananaog mao ang mga tigdukiduki gipadayag kahuyang sa VPN provider Pulse Secure, kansang serbisyo sa VPN gigamit sa Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, US Navy, US Department of Homeland Security (DHS) ug lagmit katunga sa mga kompanya gikan sa lista sa Fortune 500. Ang mga tigdukiduki nakakaplag ug backdoor nga nagtugot sa usa ka dili tinuod nga tig-atake sa pag-usab sa password sa bisan kinsa nga tiggamit. Gipakita ang posibilidad sa pagpahimulos sa problema aron makakuha og root access sa VPN server diin ang HTTPS port lamang ang bukas;

    Taliwala sa mga kandidato nga wala makadawat sa premyo, ang mosunod mahimong matikdan:

    • Naglihok sa yugto sa pre-authentication pagkahuyang sa Jenkins padayon nga integration system, nga nagtugot kanimo sa pagpatuman sa code sa server. Ang pagkahuyang aktibong gigamit sa mga bot aron maorganisar ang pagmina sa cryptocurrency sa mga server;
    • Kritikal pagkahuyang sa Exim mail server, nga nagtugot kanimo sa pagpatuman sa code sa server nga adunay mga katungod sa gamut;
    • Mga kahuyangan sa Xiongmai XMeye P2P IP camera, nga nagtugot kanimo sa pagkontrolar sa device. Ang mga kamera gihatagan og password sa engineering ug wala mogamit sa digital signature verification sa dihang nag-update sa firmware;
    • Kritikal pagkahuyang sa pagpatuman sa RDP protocol sa Windows, nga nagtugot kanimo sa layo nga pagpatuman sa imong code;
    • Kaluyahon sa WordPress, nakig-uban sa pagkarga sa PHP code sa ilawom sa dagway sa usa ka imahe. Ang problema nagtugot kanimo sa pagpatuman sa arbitraryong code sa server, nga adunay mga pribilehiyo sa tagsulat sa mga publikasyon (Author) sa site;
  • Labing Maayo nga Kliyente Software Bug. Ang nakadaog mao ang dali gamiton pagkahuyang sa sistema sa pagtawag sa grupo sa Apple FaceTime, nga gitugotan ang tigpasiugda sa usa ka tawag sa grupo nga pugson ang tawag nga dawaton sa gitawag nga partido (pananglitan, alang sa pagpaminaw ug pag-snooping).

    Gipili usab alang sa premyo mao sila:

    • Kaluyahon sa WhatsApp, nga nagtugot kanimo sa pagpatuman sa imong code pinaagi sa pagpadala sa usa ka espesyal nga gidisenyo nga voice call;
    • Kaluyahon sa Skia graphics library nga gigamit sa Chrome browser, nga mahimong mosangpot sa pagkadunot sa memorya tungod sa floating point errors sa pipila ka geometric transformations;
  • Labing Maayo nga Pagtaas sa Pagkahuyang sa Pribilehiyo. Ang kadaugan gihatag alang sa pag-ila mga kahuyang sa iOS kernel, nga mahimong mapahimuslan pinaagi sa ipc_voucher, ma-access pinaagi sa Safari browser.

    Gipili usab alang sa premyo mao sila:

    • Kaluyahon sa Windows, nga nagtugot kanimo nga makakuha og bug-os nga kontrol sa sistema pinaagi sa mga manipulasyon sa CreateWindowEx (win32k.sys) function. Ang problema giila sa panahon sa pagtuki sa malware nga nagpahimulos sa kahuyang sa wala pa kini naayo;
    • Kaluyahon sa runc ug LXC, nga nakaapekto sa Docker ug uban pang mga container isolation system, nga nagtugot sa usa ka hilit nga sudlanan nga kontrolado sa usa ka tig-atake sa pag-usab sa runc executable file ug makaangkon og root privileges sa host system side;
    • Kaluyahon sa iOS (CFPrefsDaemon), nga nagtugot kanimo sa pag-bypass sa isolation mode ug pagpatuman sa code nga adunay mga katungod sa gamut;
    • Kaluyahon sa edisyon sa Linux TCP stack nga gigamit sa Android, nga nagtugot sa usa ka lokal nga tiggamit sa pagpataas sa ilang mga pribilehiyo sa device;
    • Mga kahuyangan sa systemd-journald, nga nagtugot kanimo nga makakuha og mga katungod sa gamut;
    • Kaluyahon sa tmpreaper utility alang sa paglimpyo /tmp, nga nagtugot kanimo sa pagtipig sa imong file sa bisan unsang bahin sa file system;
  • Labing Maayo nga Pag-atake sa Cryptographic. Gihatagan alang sa pag-ila sa labing hinungdanon nga mga kal-ang sa tinuud nga mga sistema, protocol ug mga algorithm sa pag-encrypt. Ang premyo gihatag alang sa pag-ila mga kahuyang sa WPA3 wireless network security technology ug EAP-pwd, nga nagtugot kanimo sa paghimo pag-usab sa koneksyon nga password ug pag-access sa wireless network nga wala mahibalo sa password.

    Ang ubang mga kandidato alang sa award mao sila:

    • Paagi pag-atake sa PGP ug S/MIME encryption sa mga email client;
    • Paggamit bugnaw nga boot nga pamaagi aron makaangkon og access sa mga sulod sa encrypted Bitlocker partitions;
    • Kaluyahon sa OpenSSL, nga nagtugot kanimo sa pagbulag sa mga sitwasyon sa pagdawat sa sayop nga padding ug sayop nga MAC. Ang problema tungod sa sayop nga pagdumala sa zero bytes sa padding oracle;
    • Mga problema nga adunay mga ID card nga gigamit sa Germany gamit ang SAML;
    • problema nga adunay entropy sa mga random nga numero sa pagpatuman sa suporta alang sa mga token sa U2F sa ChromeOS;
    • Kaluyahon sa Monocypher, tungod niini ang null nga mga pirma sa EdDSA giila nga husto.
  • Ang pinakabag-o nga panukiduki sukad. Ang premyo gihatag ngadto sa developer sa teknolohiya Vectorized Emulation, nga naggamit sa AVX-512 vector nga mga instruksyon aron masundog ang pagpatuman sa programa, nga nagtugot sa usa ka mahinungdanon nga pag-usbaw sa katulin sa pagsulay (hangtod sa 40-120 bilyon nga mga instruksyon matag segundo). Ang teknik nagtugot sa matag CPU core sa pagpadagan sa 8 64-bit o 16 32-bit virtual machine nga susama sa mga instruksyon alang sa fuzzing testing sa aplikasyon.

    Ang mga musunod ang kwalipikado alang sa award:

    • Kaluyahon sa Power Query nga teknolohiya gikan sa MS Excel, nga nagtugot kanimo sa pag-organisar sa pagpatuman sa code ug pag-bypass sa mga pamaagi sa pag-inusara sa aplikasyon sa dihang mag-abli sa espesyal nga gidisenyo nga mga spreadsheet;
    • Paagi paglimbong sa autopilot sa Tesla nga mga sakyanan aron sa paghagit sa pagdrayb ngadto sa umaabot nga lane;
    • buhat reverse engineering sa ASICS chip Siemens S7-1200;
    • SonarSnoop - teknik sa pagsubay sa paglihok sa tudlo aron mahibal-an ang code sa pag-unlock sa telepono, base sa prinsipyo sa operasyon sa sonar - ang taas ug ubos nga mga speaker sa smartphone makamugna og dili madungog nga mga vibrations, ug ang mga built-in nga mikropono nagkuha niini aron pag-analisar sa presensya sa mga vibrations nga makita gikan sa kamot;
    • Pagpalambo ang Ghidra reverse engineering toolkit sa NSA;
    • SINYAW - usa ka teknik alang sa pagtino sa paggamit sa code alang sa parehas nga mga gimbuhaton sa daghang mga executable file base sa pagtuki sa binary assemblies;
    • paglalang usa ka paagi sa paglaktaw sa mekanismo sa Intel Boot Guard aron makarga ang giusab nga UEFI firmware nga walay digital signature verification.
  • Ang labing baol nga reaksyon gikan sa usa ka vendor (Lamest Vendor Response). Nominasyon alang sa labing dili igo nga tubag sa usa ka mensahe bahin sa pagkahuyang sa imong kaugalingon nga produkto. Ang mga mananaog mao ang mga developers sa BitFi crypto pitaka, nga nagsinggit mahitungod sa ultra-seguridad sa ilang produkto, nga sa pagkatinuod nahimo nga hinanduraw, manghasi sa mga tigdukiduki nga nagpaila sa mga kahuyangan, ug wala mobayad sa gisaad nga mga bonus alang sa pag-ila sa mga problema;

    Lakip sa mga aplikante alang sa award gikonsiderar usab:

    • Giakusahan sa usa ka tigdukiduki sa seguridad ang direktor sa Atrient sa pag-atake kaniya aron pugson siya sa pagtangtang sa usa ka taho sa usa ka kahuyang nga iyang giila, apan ang direktor nanghimakak sa insidente ug ang mga surveillance camera wala magrekord sa pag-atake;
    • Ang Zoom nalangan sa pag-ayo sa kritikal nga isyu mga kahuyang sa sistema sa komperensya niini ug gitul-id ang problema pagkahuman lamang sa pagbutyag sa publiko. Gitugotan sa pagkahuyang ang usa ka eksternal nga tig-atake nga makakuha mga datos gikan sa mga web camera sa mga tiggamit sa macOS kung nagbukas sa usa ka espesyal nga gidisenyo nga panid sa browser (Gilunsad sa Zoom ang usa ka http server sa kilid sa kliyente nga nakadawat mga mando gikan sa lokal nga aplikasyon).
    • Ang pagkapakyas sa pagkorihir sa sobra sa 10 ka tuig ang problema uban sa OpenPGP cryptographic key servers, nga nagkutlo sa kamatuoran nga ang code gisulat sa usa ka piho nga OCaml nga pinulongan ug nagpabilin nga walay usa ka maintainer.

    Ang pinaka-hyped nga vulnerability announcement pa. Gihatagan alang sa labing makalolooy ug dako nga pagsakop sa problema sa Internet ug sa media, labi na kung ang pagkahuyang sa katapusan nahimo nga dili mapahimuslan sa praktis. Ang premyo gihatag sa Bloomberg alang sa pamahayag mahitungod sa pag-ila sa mga espiya nga chips sa Super Micro boards, nga wala gikumpirma, ug ang tinubdan nagpakita sa hingpit ubang impormasyon.

    Gihisgotan sa nominasyon:

    • Pagkahuyang sa libssh, nga natandog sa usa ka aplikasyon sa server (ang libssh halos wala gigamit alang sa mga server), apan gipresentar sa NCC Group isip usa ka kahuyang nga nagtugot sa pag-atake sa bisan unsang OpenSSH server.
    • Pag-atake gamit ang DICOM nga mga imahe. Ang punto mao nga mahimo ka mag-andam og usa ka executable file alang sa Windows nga tan-awon sama sa usa ka balido nga DICOM nga imahe. Kini nga file mahimong ma-download sa medikal nga aparato ug ipatuman.
    • Kaluyahon Thrangrycat, nga nagtugot kanimo sa paglaktaw sa luwas nga mekanismo sa pag-boot sa mga aparato sa Cisco. Ang pagkahuyang giklasipikar nga usa ka overblown nga problema tungod kay kini nanginahanglan mga katungod sa gamut sa pag-atake, apan kung ang tig-atake nakahimo na sa pag-access sa gamut, nan unsa nga seguridad ang atong hisgutan. Ang pagkahuyang nakadaog usab sa kategorya nga labing gipakaubos nga mga problema, tungod kay gitugotan ka nga ipaila ang usa ka permanente nga backdoor sa Flash;
  • Pinakadakong kapakyasan (Kadaghanang Epiko FAIL). Ang kadaugan gihatag ngadto sa Bloomberg alang sa sunod-sunod nga mga makahahadlok nga artikulo nga adunay kusog nga mga ulohan apan hinimo-himo nga mga kamatuoran, pagsumpo sa mga gigikanan, pagkunsad sa mga teorya sa panagkunsabo, paggamit sa mga termino sama sa "cyberweapons", ug dili madawat nga mga generalization. Ang ubang mga nominado naglakip sa:
    • Pag-atake sa Shadowhammer sa serbisyo sa pag-update sa firmware sa Asus;
    • Pag-hack sa usa ka BitFi vault nga gi-advertise nga "unhackable";
    • Mga pagtulo sa personal nga datos ug mga token access sa Facebook.

Source: opennet.ru

Idugang sa usa ka comment