ProHoster > Blog > internet nyheder > Pwnie Awards 2019: de vigtigste sårbarheder og sikkerhedsfejl

Pwnie Awards 2019: de vigtigste sårbarheder og sikkerhedsfejl

Ved Black Hat USA-konferencen i Las Vegas tog sted prisoverrækkelse Pwnie Awards 2019, som fremhæver de væsentligste sårbarheder og absurde fejl inden for computersikkerhed. Pwnie Awards anses for at svare til Oscars og Golden Raspberries inden for computersikkerhed og er blevet afholdt årligt siden 2007.

The main vindere и nomineringer:

  • Bedste serverfejl. Tildelt for at identificere og udnytte den mest teknisk komplekse og interessante fejl i en netværkstjeneste. Vinderne var forskerne afsløret sårbarhed hos VPN-udbyderen Pulse Secure, hvis VPN-tjeneste bruges af Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, US Navy, US Department of Homeland Security (DHS) og formentlig halvdelen af virksomheder fra Fortune 500-listen. Forskere har fundet en bagdør, der gør det muligt for en uautoriseret angriber at ændre adgangskoden for enhver bruger. Muligheden for at udnytte problemet til at få root-adgang til en VPN-server, hvor kun HTTPS-porten er åben, er blevet demonstreret;

    Blandt de kandidater, der ikke modtog prisen, kan følgende noteres:

    • Betjenes i præ-godkendelsesfasen sårbarhed i Jenkins kontinuerlige integrationssystem, som giver dig mulighed for at eksekvere kode på serveren. Sårbarheden bruges aktivt af bots til at organisere cryptocurrency mining på servere;
    • Kritisk sårbarhed i Exim-mailserveren, som giver dig mulighed for at udføre kode på serveren med root-rettigheder;
    • Sårbarheder i Xiongmai XMeye P2P IP-kameraer, så du kan tage kontrol over enheden. Kameraerne blev forsynet med et teknisk kodeord og brugte ikke digital signaturbekræftelse ved opdatering af firmwaren;
    • Kritisk sårbarhed i implementeringen af ​​RDP-protokollen i Windows, som giver dig mulighed for at fjernkøre din kode;
    • Sårbarhed i WordPress, forbundet med indlæsning af PHP-kode under dække af et billede. Problemet giver dig mulighed for at udføre vilkårlig kode på serveren med privilegier fra forfatteren af ​​publikationer (forfatter) på webstedet;
  • Bedste klientsoftwarefejl. Vinderen var den nemme at bruge sårbarhed i Apple FaceTime-gruppeopkaldssystemet, hvilket gør det muligt for initiativtageren af ​​et gruppeopkald at påbegynde tvungen accept af opkaldet på siden af ​​den kaldte part (f.eks. for at lytte og snoke).

    Også nomineret til prisen var:

    • Sårbarhed i WhatsApp, som giver dig mulighed for at udføre din kode ved at sende et specialdesignet taleopkald;
    • Sårbarhed i Skia-grafikbiblioteket brugt i Chrome-browseren, hvilket kan føre til hukommelseskorruption på grund af flydende kommafejl i nogle geometriske transformationer;
  • Bedste udvidelse af privilegier sårbarhed. Sejren blev tildelt for at identificere sårbarheder i iOS-kernen, som kan udnyttes via ipc_voucher, tilgængelig via Safari-browseren.

    Også nomineret til prisen var:

    • Sårbarhed i Windows, hvilket giver dig mulighed for at få fuld kontrol over systemet gennem manipulationer med funktionen CreateWindowEx (win32k.sys). Problemet blev identificeret under analysen af ​​malware, der udnyttede sårbarheden, før den blev rettet;
    • Sårbarhed i runc og LXC, hvilket påvirker Docker og andre containerisoleringssystemer, hvilket gør det muligt for en isoleret container, der styres af en angriber, at ændre runc eksekverbare fil og opnå root-rettigheder på værtssystemsiden;
    • Sårbarhed i iOS (CFPrefsDaemon), som giver dig mulighed for at omgå isolationstilstande og udføre kode med rodrettigheder;
    • Sårbarhed i udgaven af ​​Linux TCP-stakken brugt i Android, hvilket giver en lokal bruger mulighed for at ophøje deres privilegier på enheden;
    • Sårbarheder i systemd-journald, som giver dig mulighed for at få root-rettigheder;
    • Sårbarhed i værktøjet tmpreaper til at rense /tmp, som giver dig mulighed for at gemme din fil i enhver del af filsystemet;
  • Bedste kryptografiske angreb. Tildelt for at identificere de væsentligste huller i rigtige systemer, protokoller og krypteringsalgoritmer. Prisen blev uddelt for at identificere sårbarheder i WPA3 trådløs netværkssikkerhedsteknologi og EAP-pwd, som giver dig mulighed for at genskabe forbindelsesadgangskoden og få adgang til det trådløse netværk uden at kende adgangskoden.

    Andre kandidater til prisen var:

    • fremgangsmåde angreb på PGP og S/MIME-kryptering i e-mail-klienter;
    • Ansøgning koldstartsmetode for at få adgang til indholdet af krypterede Bitlocker-partitioner;
    • Sårbarhed i OpenSSL, som giver dig mulighed for at adskille situationer med at modtage forkert polstring og forkert MAC. Problemet er forårsaget af forkert håndtering af nul bytes i padding oracle;
    • Problemer med ID-kort brugt i Tyskland ved brug af SAML;
    • problem med entropien af ​​tilfældige tal i implementeringen af ​​understøttelse af U2F-tokens i ChromeOS;
    • Sårbarhed i Monocypher, på grund af hvilken null EdDSA-signaturer blev anerkendt som korrekte.
  • Den mest innovative forskning nogensinde. Prisen blev givet til udvikleren af ​​teknologien Vektoriseret emulering, som bruger AVX-512 vektorinstruktioner til at emulere programudførelse, hvilket giver mulighed for en betydelig stigning i fuzzing testhastighed (op til 40-120 milliarder instruktioner pr. sekund). Teknikken gør det muligt for hver CPU-kerne at køre 8 64-bit eller 16 32-bit virtuelle maskiner parallelt med instruktioner til fuzzing test af applikationen.

    Følgende var berettiget til prisen:

    • Sårbarhed i Power Query-teknologi fra MS Excel, som giver dig mulighed for at organisere kodeudførelse og omgå applikationsisoleringsmetoder, når du åbner specialdesignede regneark;
    • fremgangsmåde bedrage Tesla-bilers autopilot for at fremprovokere kørsel ind i den modkørende vognbane;
    • Arbejde reverse engineering af ASICS-chip Siemens S7-1200;
    • SonarSnoop - fingerbevægelsessporingsteknik til at bestemme telefonens oplåsningskode, baseret på princippet om sonardrift - de øvre og nedre højttalere på smartphonen genererer uhørlige vibrationer, og de indbyggede mikrofoner opfanger dem for at analysere tilstedeværelsen af ​​vibrationer, der reflekteres fra hånd;
    • design NSA's Ghidra reverse engineering værktøjskasse;
    • SAFE — en teknik til at bestemme brugen af ​​kode til identiske funktioner i flere eksekverbare filer baseret på analyse af binære samlinger;
    • skabelse en metode til at omgå Intel Boot Guard-mekanismen for at indlæse modificeret UEFI-firmware uden verifikation af digital signatur.
  • Den mest lamme reaktion fra en leverandør (Lamest Vendor Response). Nominering for det mest utilstrækkelige svar på en besked om en sårbarhed i dit eget produkt. Vinderne er udviklerne af BitFi crypto wallet, som råber om ultrasikkerheden af ​​deres produkt, som i virkeligheden viste sig at være imaginært, chikanere forskere, der identificerer sårbarheder, og ikke betaler de lovede bonusser for at identificere problemer;

    Blandt ansøgerne til prisen overvejede også:

    • En sikkerhedsforsker anklagede direktøren for Atrient for at angribe ham for at tvinge ham til at fjerne en rapport om en sårbarhed, han identificerede, men direktøren benægter hændelsen, og overvågningskameraer registrerede ikke angrebet;
    • Zoom forsinket afhjælpning af kritisk problem sårbarheder i sit konferencesystem og korrigerede først problemet efter offentliggørelse. Sårbarheden tillod en ekstern angriber at hente data fra macOS-brugeres webkameraer, når de åbnede en specialdesignet side i browseren (Zoom lancerede en http-server på klientsiden, der modtog kommandoer fra den lokale applikation).
    • Manglende korrektion i mere end 10 år problemet med OpenPGP kryptografiske nøgleservere, med henvisning til det faktum, at koden er skrevet på et specifikt OCaml-sprog og forbliver uden en vedligeholder.

    Den hidtil mest hypede sårbarhedsmeddelelse. Tildelt for den mest patetiske og storstilede dækning af problemet på internettet og medierne, især hvis sårbarheden i sidste ende viser sig at være uudnyttelig i praksis. Prisen blev tildelt Bloomberg for ansøgning om identifikation af spionchips i Super Micro-kort, hvilket ikke blev bekræftet, og kilden angav absolut andre oplysninger.

    Nævnt i nomineringen:

    • Sårbarhed i libssh, som berørt enkelt server applikationer (libssh bruges næsten aldrig til servere), men blev præsenteret af NCC Group som en sårbarhed, der gør det muligt at angribe enhver OpenSSH server.
    • Angreb ved hjælp af DICOM-billeder. Pointen er, at du kan forberede en eksekverbar fil til Windows, der vil ligne et gyldigt DICOM-billede. Denne fil kan downloades til det medicinske udstyr og udføres.
    • Sårbarhed Thrangrycat, som giver dig mulighed for at omgå den sikre boot-mekanisme på Cisco-enheder. Sårbarheden er klassificeret som et overdrevet problem, fordi det kræver root-rettigheder at angribe, men hvis angriberen allerede var i stand til at få root-adgang, hvilken sikkerhed kan vi så tale om. Sårbarheden vandt også i kategorien af ​​de mest undervurderede problemer, da den giver dig mulighed for at introducere en permanent bagdør i Flash;
  • Største fiasko (Mest episke FAIL). Sejren blev tildelt Bloomberg for en række opsigtsvækkende artikler med høje overskrifter, men opdigtede fakta, undertrykkelse af kilder, nedstigning i konspirationsteorier, brug af udtryk som "cybervåben" og uacceptable generaliseringer. Andre nominerede inkluderer:
    • Shadowhammer angreb på Asus firmwareopdateringstjeneste;
    • Hacking af en BitFi-boks, der annonceres som "unhackable";
    • Læk af personlige data og tokens adgang til Facebook.

Kilde: opennet.ru

Tilføj en kommentar