Auf der kürzlich in Las Vegas stattgefundenen Black Hat USA-Konferenz die Preisverleihung , bei der die bedeutendsten Sicherheitsanfälligkeiten und absurden Misserfolge im Bereich der Computersicherheit hervorgehoben werden. Die Pwnie Awards gelten als das Äquivalent der Oscars und der Goldenen Himbeeren im Bereich der Computersicherheit und werden seit 2007 jährlich verliehen.
Haupt und :
- Bester Serverfehler. Verliehen für die Entdeckung und Ausnutzung des technisch anspruchsvollsten und interessantesten Fehlers in einem Netzwerkdienst. Die Gewinner sind Forscher, eine Sicherheitsanfälligkeit beim VPN-Anbieter Pulse Secure aufgedeckt haben, dessen VPN-Dienst von Twitter, Uber, Microsoft, SLA, SpaceX, Akamai, Intel, IBM, VMware, den US Navy und dem US Department of Homeland Security (DHS) genutzt wird und wahrscheinlich bei der Hälfte der Unternehmen aus der Fortune-500-Liste. Die Forscher fanden einen Backdoor, der einem nicht autorisierten Angreifer ermöglichte, das Passwort jedes Benutzers zu ändern. Die Möglichkeit, das Problem auszunutzen, um Root-Zugang zum VPN-Server zu erhalten, wo nur der HTTPS-Port geöffnet ist, wurde demonstriert;
Unter den nicht preisgekrönten Anwärtern sind folgende erwähnenswert:
- In der Phase vor der Authentifizierung betrieben im Continuous Integration System Jenkins, das es ermöglicht, Code auf dem Server auszuführen. Die Schwachstelle wird aktiv von Bots ausgenutzt, um Kryptowährungen auf den Servern zu schürfen;
- Kritisch im E-Mail-Server Exim, die es ermöglicht, Code mit Root-Rechten auf dem Server auszuführen;
- in den IP-Kameras Xiongmai XMeye P2P, die es erlauben, die Kontrolle über das Gerät zu übernehmen. Die Kameras wurden mit einem Ingenieur-Passwort ausgeliefert und verwendeten bei der Firmware-Aktualisierung keine digitale Signaturprüfung;
- Kritisch in der Implementierung des RDP-Protokolls in Windows, die es ermöglicht, aus der Ferne eigenen Code auszuführen;
- in WordPress, die sich auf das Hochladen von PHP-Code in Form von Bildern bezieht. Das Problem erlaubt die Ausführung beliebigen Codes auf dem Server, sofern die Berechtigungen des Autors (Author) auf der Website bestehen;
- Der beste Fehler in der Client-Software. Gewinner ist eine leicht ausnutzbare in Apples FaceTime-Gruftanrufsystem, die es dem Initiator des Gruppenanrufs ermöglicht, die Annahme eines Anrufs auf der Seite des angerufenen Teilnehmers zu erzwingen (zum Beispiel zum Abhorchen und Ausspionieren).
Auch für den Preis nominiert waren:
- in WhatsApp, die es ermöglicht, Code auszuführen, indem ein speziell formatierter Sprachaufruf gesendet wird;
- in der Grafikbibliothek Skia, die im Chrome-Browser verwendet wird und aufgrund von Fehlern bei Gleitpunktoperationen bei bestimmten geometrischen Transformationen zu Speicherbeschädigungen führen kann;
- Die beste Schwachstelle, die zu einer Erhöhung der Berechtigungen führt. Der Preis wird für die Entdeckung vergeben im iOS-Kernel, die über ipc_voucher ausgenutzt werden kann und über den Safari-Browser zugänglich ist.
Auch für den Preis nominiert waren:
- in Windows, die die vollständige Kontrolle über das System durch Manipulation der Funktion CreateWindowEx (win32k.sys) ermöglicht. Das Problem wurde bei der Analyse von Malware entdeckt, die die Schwachstelle vor ihrer Behebung ausnutzte;
- in runc und LXC, die Docker und andere Containerisolation Systeme betrifft und es einem Angreifer ermöglicht, die ausführbare Datei runc aus einem kontrollierten isolierten Container zu ändern und Root-Rechte auf der Host-System-Seite zu erlangen;
- in iOS (CFPrefsDaemon), die es ermöglicht, die Isolationsmodi zu umgehen und Code mit Root-Rechten auszuführen;
- im TCP-Stack von Linux, das in Android verwendet wird, was lokalen Benutzern ermöglicht, ihre Zugriffsrechte auf dem Gerät zu erhöhen;
- im systemd-journald, was den Root-Zugriff ermöglicht;
- in der tmpreaper-Utility zur Bereinigung von /tmp, die es ermöglicht, eine Datei an beliebiger Stelle im FS zu speichern;
- Die beste kryptografische Attacke. Verliehen für die Entdeckung der bedeutendsten Schwachstellen in realen Systemen, Protokollen und Verschlüsselungsalgorithmen. Der Preis wurde für die Aufdeckung von in der WPA3-Wireless-Netzwerkschutztechnologie und in EAP-pwd, was das Rekonstruieren des Verbindungspassworts ermöglicht und den Zugang zu einem WLAN ohne Wissen des Passworts ermöglicht.
Auch nominiert waren:
- Angriffe auf die PGP- und S/MIME-Verschlüsselung in E-Mail-Clients;
- die Methode des Cold Boot für den Zugriff auf den Inhalt von verschlüsselten Bitlocker-Partitionen;
- in OpenSSL, die die Trennung von Situationen für inkorrekte Zusatzfüllung und inkorrektes MAC ermöglicht. Das Problem rührt von einer fehlerhaften Verarbeitung von Null-Bytes in der Zusatzfüllung (Padding-Oracle);
- mit in Deutschland verwendeten Identifikationskarten, die SAML verwenden;
- mit der Entropie von Zufallszahlen in der Implementierung der Unterstützung für U2F-Token in ChromeOS;
- in Monocypher, wodurch Nullsignaturen von EdDSA als gültig anerkannt wurden.
- Die innovativste Forschung. Der Preis wurde an den Entwickler der Technik verliehen , die vektorielle AVX-512-Anweisungen zur Emulation der Programmausführung verwendet, was eine erhebliche Beschleunigung des Fuzzing-Tests ermöglicht (bis zu 40–120 Milliarden Instruktionen pro Sekunde). Diese Technik erlaubt es, auf jedem CPU-Kern 8 64-Bit oder 16 32-Bit virtuelle Maschinen parallel mit Anweisungen für das Fuzzing-Testing auszuführen.
Die folgenden Technologien waren für den Preis nominiert:
- in der Power Query-Technologie aus MS Excel, die es ermöglicht, Code auszuführen und Methoden zur Isolation von Anwendungen beim Öffnen speziell gestalteter Tabellenblätter zu umgehen;
- Manipulation des Autopiloten von Tesla-Fahrzeugen, um ein Abweichen in die Gegenfahrbahn zu provozieren;
- Reverse Engineering des ASICS-Chips Siemens S7-1200;
- – Technik zur Verfolgung der Fingerbewegungen zur Bestimmung des Entsperrcodes eines Smartphones basierend auf dem Prinzip des Sonars – der obere und untere Lautsprecher des Smartphones erzeugen unhörbare Schwingungen, während integrierte Mikrofone diese erfassen, um die von der Hand reflektierten Schwingungen zu analysieren;
- im NSA-Tool zur Rückentwicklung Ghidra;
- – Technik zur Erkennung der Verwendung identischer Funktionscodes in mehreren ausführbaren Dateien basierend auf der Analyse von Binärsammlungen;
- Methode zur Umgehung des Intel Boot Guard-Mechanismus, um modifizierte UEFI-Firmware ohne Überprüfung durch digitale Signaturen zu laden.
- Die lächerlichste Reaktion des Anbieters (Lächerlichste Anbieterreaktion). Auszeichnung für die unangemessenste Reaktion auf eine Sicherheitsmeldung über ein eigenes Produkt. Gewinner sind die Entwickler der Krypto-Wallet BitFi, die von der überragenden Sicherheit ihres Produkts schwärmen, die sich in Wirklichkeit als illusorisch herausstellte, mit einer Verfolgung von Forschern, die Schwachstellen aufdecken, und ohne Auszahlung der versprochenen Belohnungen für die Entdeckung von Problemen;
Zu den Nominierten für den Preis wurden ebenfalls in Betracht gezogen:
- Der Sicherheitsexperte beschuldigte den Direktor von Atrient, ihn angegriffen zu haben, um ihn zur Löschung eines Berichts über eine entdeckte Schwachstelle zu zwingen. Der Direktor bestreitet den Vorfall, und die Überwachungskameras haben keinen Angriff aufgezeichnet.
- Das Unternehmen Zoom hat die Behebung einer kritischen Schwachstelle in seinem Konferenzsystem hinausgezögert und das Problem erst nach öffentlichem Aufmerksamkeit behoben. Die Schwachstelle ermöglichte es einem externen Angreifer, Daten von den Webcams von macOS-Nutzern zu erhalten, wenn eine speziell gestaltete Seite im Browser geöffnet wurde (Zoom startete auf der Clientseite einen HTTP-Server, der Befehle von der lokalen Anwendung entgegennahm).
- Die Unfähigkeit, seit über 10 Jahren die Server für kryptografische Schlüssel von OpenPGP zu beheben, wurde damit gerechtfertigt, dass der Code in der spezifischen Sprache OCaml geschrieben sei und ohne Begleitpersonen bleibt.
Die übertriebenste Ankündigung einer Schwachstellewird für die am dramatischsten und umfangreichsten geleitete Berichterstattung über ein Problem im Internet und in den Medien verliehen, insbesondere wenn sich die Schwachstelle letztlich als praktisch nicht ausnutzbar erweist. Der Preis wurde der Publikation Bloomberg für die Entdeckung von Spionage-Chips in Super-Micro-Platinen verliehen, was sich nicht bestätigte, und die Quelle wies auf etwas ganz anderes hin. .
In der Nominierung erwähnt:
- Eine Schwachstelle in libssh, die Ein Angriff unter Verwendung von DICOM-Bildern. Der Kern ist, dass man eine ausführbare Datei für Windows erstellen kann, die wie ein gültiges DICOM-Bild aussieht. Diese Datei kann auf ein medizinisches Gerät hochgeladen und ausgeführt werden.
- Thrangrycat
- Sicherheitsanfälligkeit Das größte Versagen
- Самый большой провал (Most Epic FAIL). Der Preis wurde der Zeitschrift Bloomberg für eine Reihe sensationeller Artikel mit auffälligen Überschriften, erfundenen Fakten, dem Verschweigen von Quellen, dem Abrutschen in Verschwörungstheorien, der Verwendung von Begriffen wie „Cyberwaffen“ und unzulässigen Verallgemeinerungen verliehen. Unter den anderen Nominierten:
- Die Shadowhammer-Attacke auf den Firmware-Update-Service von Asus;
- Der Hack des als „unhackbar“ beworbenen BitFi-Speichers;
- Datenlecks von personenbezogenen Daten und Zugriff auf Facebook.
Quelle: opennet.ru
