Auf der Black Hat USA-Konferenz in Las Vegas Preisverleihung , das die größten Schwachstellen und absurdesten Fehler im Bereich der Computersicherheit hervorhebt. Die Pwnie Awards gelten als Äquivalent zu den Oscars und Golden Raspberrys im Bereich Computersicherheit und werden seit 2007 jährlich verliehen.
Haupt- и :
- Bester Serverfehler. Ausgezeichnet für die Identifizierung und Ausnutzung des technisch komplexesten und interessantesten Fehlers in einem Netzwerkdienst. Die Gewinner waren die Forscher Schwachstelle beim VPN-Anbieter Pulse Secure, dessen VPN-Dienst von Twitter, Uber, Microsoft, SLA, SpaceX, Akamai, Intel, IBM, VMware, der US Navy, dem US Department of Homeland Security (DHS) und wahrscheinlich der Hälfte aller genutzt wird Unternehmen aus der Fortune-500-Liste. Forscher haben eine Hintertür gefunden, die es einem nicht authentifizierten Angreifer ermöglicht, das Passwort eines beliebigen Benutzers zu ändern. Die Möglichkeit, das Problem auszunutzen, um Root-Zugriff auf einen VPN-Server zu erhalten, auf dem nur der HTTPS-Port offen ist, wurde nachgewiesen;
Unter den Kandidaten, die den Preis nicht erhalten haben, sind folgende zu nennen:
- Wird in der Vorauthentifizierungsphase betrieben im Jenkins Continuous Integration System, das es Ihnen ermöglicht, Code auf dem Server auszuführen. Die Sicherheitslücke wird von Bots aktiv genutzt, um das Kryptowährungs-Mining auf Servern zu organisieren.
- kritisch im Exim-Mailserver, der es Ihnen ermöglicht, Code auf dem Server mit Root-Rechten auszuführen;
- in Xiongmai XMeye P2P IP-Kameras, sodass Sie die Kontrolle über das Gerät übernehmen können. Die Kameras wurden mit einem technischen Passwort geliefert und verwendeten beim Aktualisieren der Firmware keine Überprüfung der digitalen Signatur.
- kritisch bei der Implementierung des RDP-Protokolls in Windows, das Ihnen die Remoteausführung Ihres Codes ermöglicht;
- in WordPress, verbunden mit dem Laden von PHP-Code unter dem Deckmantel eines Bildes. Das Problem ermöglicht es Ihnen, beliebigen Code auf dem Server auszuführen und dabei über die Rechte des Autors von Veröffentlichungen (Autor) auf der Site zu verfügen;
- Bester Client-Softwarefehler. Der Gewinner war die Benutzerfreundlichkeit im Apple FaceTime-Gruppenanrufsystem, das es dem Initiator eines Gruppenanrufs ermöglicht, die Annahme des Anrufs durch den angerufenen Teilnehmer zu erzwingen (z. B. zum Abhören und Belauschen).
Für den Preis nominiert waren außerdem:
- in WhatsApp, mit dem Sie Ihren Code ausführen können, indem Sie einen speziell entwickelten Sprachanruf senden;
- in der Skia-Grafikbibliothek, die im Chrome-Browser verwendet wird, was aufgrund von Gleitkommafehlern bei einigen geometrischen Transformationen zu Speicherbeschädigungen führen kann;
- Beste Sicherheitslücke bei der Erhöhung von Berechtigungen. Der Sieg wurde für die Identifizierung vergeben im iOS-Kernel, der über ipc_voucher ausgenutzt werden kann und über den Safari-Browser zugänglich ist.
Für den Preis nominiert waren außerdem:
- in Windows, sodass Sie durch Manipulationen mit der Funktion CreateWindowEx (win32k.sys) die volle Kontrolle über das System erlangen können. Das Problem wurde bei der Analyse von Malware identifiziert, die die Schwachstelle ausnutzte, bevor sie behoben wurde;
- in runc und LXC, was sich auf Docker und andere Container-Isolationssysteme auswirkt und es einem von einem Angreifer kontrollierten isolierten Container ermöglicht, die ausführbare Datei von runc zu ändern und Root-Rechte auf der Seite des Hostsystems zu erlangen;
- in iOS (CFPrefsDaemon), mit dem Sie Isolationsmodi umgehen und Code mit Root-Rechten ausführen können;
- in der in Android verwendeten Edition des Linux-TCP-Stacks, die es einem lokalen Benutzer ermöglicht, seine Berechtigungen auf dem Gerät zu erhöhen;
- in systemd-journal, wodurch Sie Root-Rechte erlangen können;
- im Dienstprogramm tmpreaper zum Bereinigen von /tmp, mit dem Sie Ihre Datei in einem beliebigen Teil des Dateisystems speichern können;
- Bester kryptografischer Angriff. Ausgezeichnet für die Identifizierung der größten Lücken in realen Systemen, Protokollen und Verschlüsselungsalgorithmen. Der Preis wurde für die Identifizierung verliehen in der WPA3-Sicherheitstechnologie für drahtlose Netzwerke und EAP-pwd, die es Ihnen ermöglicht, das Verbindungskennwort neu zu erstellen und Zugriff auf das drahtlose Netzwerk zu erhalten, ohne das Kennwort zu kennen.
Weitere Kandidaten für die Auszeichnung waren:
- Angriffe auf PGP- und S/MIME-Verschlüsselung in E-Mail-Clients;
- Kaltstartmethode, um Zugriff auf den Inhalt verschlüsselter Bitlocker-Partitionen zu erhalten;
- in OpenSSL, wodurch Sie die Situationen des Empfangs falscher Auffüllung und falscher MAC trennen können. Das Problem wird durch eine fehlerhafte Behandlung von Null-Bytes im Padding-Oracle verursacht.
- mit in Deutschland verwendeten Ausweisen mittels SAML;
- mit der Entropie von Zufallszahlen bei der Implementierung der Unterstützung für U2F-Tokens in ChromeOS;
- in Monocypher, wodurch Null-EdDSA-Signaturen als korrekt erkannt wurden.
- Die innovativste Forschung aller Zeiten. Der Preis ging an den Entwickler der Technologie , das AVX-512-Vektoranweisungen verwendet, um die Programmausführung zu emulieren, was eine deutliche Steigerung der Fuzzing-Testgeschwindigkeit ermöglicht (bis zu 40–120 Milliarden Anweisungen pro Sekunde). Die Technik ermöglicht es jedem CPU-Kern, 8 virtuelle 64-Bit- oder 16 32-Bit-virtuelle Maschinen parallel auszuführen, mit Anweisungen zum Fuzzing-Testen der Anwendung.
Für die Auszeichnung kamen in Frage:
- in der Power Query-Technologie von MS Excel, mit der Sie die Codeausführung organisieren und Anwendungsisolationsmethoden umgehen können, wenn Sie speziell entwickelte Tabellenkalkulationen öffnen;
- Täuschung des Autopiloten von Tesla-Autos, um das Auffahren auf die Gegenfahrbahn zu provozieren;
- Reverse Engineering des ASICS-Chips Siemens S7-1200;
- - Fingerbewegungsverfolgungstechnik zur Bestimmung des Telefon-Entsperrcodes, basierend auf dem Prinzip des Sonar-Betriebs – die oberen und unteren Lautsprecher des Smartphones erzeugen unhörbare Vibrationen, und die eingebauten Mikrofone nehmen sie auf, um das Vorhandensein von Vibrationen zu analysieren, die vom Smartphone reflektiert werden Hand;
- das Ghidra-Reverse-Engineering-Toolkit der NSA;
- — eine Technik zur Bestimmung der Verwendung von Code für identische Funktionen in mehreren ausführbaren Dateien basierend auf der Analyse von Binärassemblys;
- eine Methode zur Umgehung des Intel Boot Guard-Mechanismus, um geänderte UEFI-Firmware ohne Überprüfung der digitalen Signatur zu laden.
- Die lahmeste Reaktion eines Anbieters (Antwort des lahmsten Anbieters). Nominierung für die unzulänglichste Antwort auf eine Meldung über eine Schwachstelle im eigenen Produkt. Die Gewinner sind die Entwickler des BitFi-Krypto-Wallets, die über die extreme Sicherheit ihres Produkts schreien, das sich in Wirklichkeit als eingebildet herausstellte, Forscher belästigen, die Schwachstellen identifizieren, und die versprochenen Boni für die Identifizierung von Problemen nicht zahlen;
Zu den Bewerbern für den Preis zählten außerdem:
- Ein Sicherheitsforscher beschuldigte den Direktor von Atrient, ihn angegriffen zu haben, um ihn zu zwingen, einen Bericht über eine von ihm identifizierte Schwachstelle zu entfernen, doch der Direktor bestreitet den Vorfall und Überwachungskameras haben den Angriff nicht aufgezeichnet;
- Zoom hat die Behebung eines kritischen Problems verzögert in seinem Konferenzsystem und behebte das Problem erst nach öffentlicher Offenlegung. Die Sicherheitslücke ermöglichte es einem externen Angreifer, Daten von den Webcams von macOS-Benutzern abzurufen, wenn er eine speziell gestaltete Seite im Browser öffnete (Zoom startete einen HTTP-Server auf der Clientseite, der Befehle von der lokalen Anwendung empfing).
- Keine Korrektur seit mehr als 10 Jahren mit kryptografischen Schlüsselservern von OpenPGP, unter Berufung auf die Tatsache, dass der Code in einer bestimmten OCaml-Sprache geschrieben ist und keinen Betreuer hat.
Die bisher am meisten gehypte Ankündigung einer Sicherheitslücke. Ausgezeichnet für die erbärmlichste und umfassendste Berichterstattung über das Problem im Internet und in den Medien, insbesondere wenn sich die Schwachstelle letztlich als unausnutzbar in der Praxis herausstellt. Der Preis wurde Bloomberg für verliehen über die Identifizierung von Spionagechips in Super Micro-Boards, die nicht bestätigt wurde, und die Quelle gab absolut an .
In der Nominierung erwähnt:
- Sicherheitslücke in libssh, die Einzelserveranwendungen (libssh wird fast nie für Server verwendet), wurde jedoch von der NCC Group als Schwachstelle dargestellt, die den Angriff auf jeden OpenSSH-Server ermöglicht.
- Angriff mit DICOM-Bildern. Der Punkt ist, dass Sie eine ausführbare Datei für Windows vorbereiten können, die wie ein gültiges DICOM-Bild aussieht. Diese Datei kann auf das medizinische Gerät heruntergeladen und ausgeführt werden.
- Sicherheitslücke , mit dem Sie den sicheren Startmechanismus auf Cisco-Geräten umgehen können. Die Sicherheitslücke wird als übertriebenes Problem eingestuft, da für den Angriff Root-Rechte erforderlich sind. Wenn der Angreifer jedoch bereits Root-Zugriff erhalten konnte, über welche Sicherheit können wir dann sprechen? Die Schwachstelle gewann auch in der Kategorie der am meisten unterschätzten Probleme, da sie es ermöglicht, eine permanente Hintertür in Flash einzuführen;
- Größter Misserfolg (Epischster FAIL). Der Sieg wurde Bloomberg für eine Reihe aufsehenerregender Artikel mit lauten Schlagzeilen, aber erfundenen Fakten, der Unterdrückung von Quellen, dem Abgleiten in Verschwörungstheorien, der Verwendung von Begriffen wie „Cyberwaffen“ und inakzeptablen Verallgemeinerungen zuerkannt. Weitere Nominierte sind:
- Shadowhammer-Angriff auf Asus-Firmware-Update-Dienst;
- Hacken eines BitFi-Tresors, der als „nicht hackbar“ beworben wird;
- Verlust personenbezogener Daten und Zugang zu Facebook.
Source: opennet.ru