ProHoster > Blog > internetové zprávy > Pwnie Awards 2019: Nejvýznamnější bezpečnostní zranitelnosti a selhání

Pwnie Awards 2019: Nejvýznamnější bezpečnostní zranitelnosti a selhání

Na konferenci Black Hat USA v Las Vegas odehrál se ceremoniál předávání cen Pwnie Awards 2019, který upozorňuje na nejvýznamnější zranitelnosti a absurdní selhání v oblasti počítačové bezpečnosti. Ceny Pwnie jsou považovány za ekvivalent Oscarů a Zlatých malin v oblasti počítačové bezpečnosti a jsou pořádány každoročně od roku 2007.

hlavní vítězové и nominace:

  • Nejlepší chyba serveru. Uděluje se za identifikaci a využití technicky nejsložitější a nejzajímavější chyby v síťové službě. Vítězi se stali výzkumníci odhaleno zranitelnost poskytovatele VPN Pulse Secure, jehož službu VPN využívají Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, US Navy, Ministerstvo vnitřní bezpečnosti USA (DHS) a pravděpodobně polovina společnosti ze seznamu Fortune 500. Výzkumníci našli zadní vrátka, která umožňuje neověřenému útočníkovi změnit heslo libovolného uživatele. Byla prokázána možnost zneužití problému k získání přístupu root k serveru VPN, na kterém je otevřený pouze port HTTPS;

    Mezi kandidáty, kteří cenu nezískali, lze uvést následující:

    • Provozováno ve fázi předběžného ověření zranitelnost v systému kontinuální integrace Jenkins, který vám umožňuje spouštět kód na serveru. Tuto chybu zabezpečení aktivně využívají boti k organizaci těžby kryptoměn na serverech;
    • Kritické zranitelnost v poštovním serveru Exim, který vám umožňuje spouštět kód na serveru s právy root;
    • Zranitelnosti v Xiongmai XMeye P2P IP kamerách, což vám umožní převzít kontrolu nad zařízením. Kamery byly dodávány s technickým heslem a při aktualizaci firmwaru nepoužívaly ověřování digitálního podpisu;
    • Kritické zranitelnost v implementaci protokolu RDP ve Windows, který vám umožňuje vzdáleně spouštět váš kód;
    • Zranitelnost ve WordPress, spojené s načítáním PHP kódu pod rouškou obrázku. Problém vám umožňuje spouštět libovolný kód na serveru s oprávněními autora publikací (Author) na webu;
  • Nejlepší chyba klientského softwaru. Vítězem se stal snadno použitelný zranitelnost v systému skupinového volání Apple FaceTime, což umožňuje iniciátorovi skupinového hovoru vynutit si přijetí hovoru volanou stranou (například pro poslech a slídění).

    Na cenu byli dále nominováni:

    • Zranitelnost v WhatsApp, který vám umožňuje spustit váš kód odesláním speciálně navrženého hlasového hovoru;
    • Zranitelnost v grafické knihovně Skia používané v prohlížeči Chrome, což může vést k poškození paměti v důsledku chyb s pohyblivou řádovou čárkou v některých geometrických transformacích;
  • Nejlepší zvýšení zranitelnosti oprávnění. Vítězství bylo uděleno za identifikaci zranitelnosti v jádře iOS, který lze využít prostřednictvím ipc_voucher, přístupného přes prohlížeč Safari.

    Na cenu byli dále nominováni:

    • Zranitelnost ve Windows, což vám umožní získat plnou kontrolu nad systémem pomocí manipulací s funkcí CreateWindowEx (win32k.sys). Problém byl identifikován během analýzy malwaru, který zneužil zranitelnost, než byla opravena;
    • Zranitelnost v runc a LXC ovlivňující Docker a další systémy izolace kontejnerů, což umožňuje izolovanému kontejneru ovládanému útočníkem změnit spustitelný soubor runc a získat oprávnění root na straně hostitelského systému;
    • Zranitelnost v iOS (CFPrefsDaemon), který umožňuje obejít režimy izolace a spouštět kód s právy root;
    • Zranitelnost v edici linuxového TCP stacku používaného v Androidu, umožňující místnímu uživateli zvýšit svá oprávnění na zařízení;
    • Zranitelnosti v systemd-journald, který vám umožňuje získat práva root;
    • Zranitelnost v obslužném programu tmpreaper pro čištění /tmp, který vám umožní uložit váš soubor do libovolné části souborového systému;
  • Nejlepší kryptografický útok. Uděluje se za identifikaci nejvýznamnějších mezer ve skutečných systémech, protokolech a šifrovacích algoritmech. Cena byla udělena za identifikaci zranitelnosti v technologii zabezpečení bezdrátové sítě WPA3 a EAP-pwd, která umožňuje znovu vytvořit heslo připojení a získat přístup k bezdrátové síti bez znalosti hesla.

    Dalšími kandidáty na ocenění byli:

    • metoda útoky na PGP a S/MIME šifrování v emailových klientech;
    • přihláška metoda studeného spouštění pro získání přístupu k obsahu šifrovaných oddílů Bitlocker;
    • Zranitelnost v OpenSSL, což umožňuje oddělit situace příjmu nesprávného vyplnění a nesprávného MAC. Problém je způsoben nesprávnou manipulací s nulovými bajty v oracle;
    • Problémy s průkazy totožnosti používanými v Německu pomocí SAML;
    • problém s entropií náhodných čísel při implementaci podpory tokenů U2F v ChromeOS;
    • Zranitelnost v Monocypher, díky čemuž byly nulové podpisy EdDSA uznány jako správné.
  • Nejinovativnější výzkum všech dob. Cena byla udělena vývojáři technologie Vektorizovaná emulace, který používá vektorové instrukce AVX-512 k emulaci provádění programu, což umožňuje výrazné zvýšení rychlosti fuzzing testování (až 40-120 miliard instrukcí za sekundu). Tato technika umožňuje každému jádru CPU provozovat 8 64bitových nebo 16 32bitových virtuálních strojů paralelně s instrukcemi pro fuzzing testování aplikace.

    Na ocenění měli nárok:

    • Zranitelnost v technologii Power Query z MS Excel, která umožňuje organizovat spouštění kódu a obejít metody izolace aplikací při otevírání speciálně navržených tabulek;
    • metoda klamání autopilota vozů Tesla, aby vyprovokoval jízdu do protijedoucího pruhu;
    • Práce reverzní inženýrství čipu ASICS Siemens S7-1200;
    • SonarSnoop - technika sledování pohybu prstů pro určení kódu pro odemknutí telefonu, založená na principu činnosti sonaru - horní a spodní reproduktory smartphonu generují neslyšitelné vibrace a vestavěné mikrofony je zachycují, aby analyzovaly přítomnost vibrací odražených od ruka;
    • Vývoj sada nástrojů pro reverzní inženýrství Ghidra od NSA;
    • SAFE — technika pro určení použití kódu pro identické funkce v několika spustitelných souborech na základě analýzy binárních sestav;
    • tvorba způsob, jak obejít mechanismus Intel Boot Guard pro načtení upraveného firmwaru UEFI bez ověření digitálního podpisu.
  • Nejkritičtější reakce prodejce (Poslední odpověď dodavatele). Nominace za nejnevhodnější odpověď na zprávu o zranitelnosti vašeho vlastního produktu. Vítězi jsou vývojáři kryptopeněženky BitFi, kteří křičí o ultrabezpečnosti svého produktu, který se ve skutečnosti ukázal jako imaginární, obtěžují výzkumníky, kteří identifikují zranitelnosti, a neplatí slibované bonusy za identifikaci problémů;

    Mezi uchazeči o ocenění také uvažovali:

    • Bezpečnostní výzkumník obvinil ředitele společnosti Atrient, že na něj zaútočil, aby ho donutil odstranit zprávu o zranitelnosti, kterou identifikoval, ale ředitel incident popírá a bezpečnostní kamery útok nezaznamenaly;
    • Zoom se zpozdil při opravě kritického problému zranitelnosti ve svém konferenčním systému a problém napravil až po zveřejnění. Tato chyba zabezpečení umožnila externímu útočníkovi získat data z webových kamer uživatelů macOS při otevření speciálně navržené stránky v prohlížeči (Zoom spustil http server na straně klienta, který přijímal příkazy z místní aplikace).
    • Nenapravení po dobu delší než 10 let problém se servery s kryptografickými klíči OpenPGP s odkazem na skutečnost, že kód je napsán ve specifickém jazyce OCaml a zůstává bez správce.

    Zatím nejvíce medializované oznámení o zranitelnosti. Uděluje se za nejžalostnější a nejrozsáhlejší pokrytí problému na internetu a v médiích, zvláště pokud se nakonec ukáže, že zranitelnost je v praxi nevyužítelná. Cena byla udělena společnosti Bloomberg za prohlášení o identifikaci špionážních čipů v deskách Super Micro, což se nepotvrdilo a zdroj uvedl absolutně jiná informace.

    V nominaci uvedeno:

    • Zranitelnost v libssh, která dotkl aplikace pro jeden server (libssh se pro servery téměř nikdy nepoužívá), ale byl prezentován skupinou NCC jako zranitelnost, která umožňuje útok na jakýkoli server OpenSSH.
    • Útok pomocí obrázků DICOM. Jde o to, že si můžete připravit spustitelný soubor pro Windows, který bude vypadat jako platný obraz DICOM. Tento soubor lze stáhnout do zdravotnického zařízení a spustit.
    • Zranitelnost Thrangrycat, který umožňuje obejít mechanismus bezpečného spouštění na zařízeních Cisco. Tato zranitelnost je klasifikována jako přehnaný problém, protože k útoku vyžaduje práva root, ale pokud už útočník byl schopen získat přístup root, o jakém zabezpečení můžeme mluvit. Zranitelnost zvítězila i v kategorii nejvíce podceňovaných problémů, protože umožňuje zavést do Flashe permanentní zadní vrátka;
  • Největší selhání (Nejepičtější FAIL). Vítězství bylo uděleno Bloombergu za sérii senzačních článků s hlasitými titulky, ale vymyšlenými fakty, potlačování zdrojů, sklon ke konspiračním teoriím, používání termínů jako „kybernetické zbraně“ a nepřijatelná zobecnění. Mezi další nominované patří:
    • Shadowhammer útok na službu aktualizace firmwaru Asus;
    • Hacknutí úložiště BitFi inzerované jako „nehacknutelné“;
    • Úniky osobních údajů a žetony přístup na Facebook.

Zdroj: opennet.ru

Přidat komentář