Pwnie Awards 2019: die bedeutendsten Schwachstellen und Sicherheitsfehler

Auf der kürzlich in Las Vegas stattgefundenen Black Hat USA-Konferenz fand statt die Preisverleihung Pwnie Awards 2019, bei der die bedeutendsten Sicherheitsanfälligkeiten und absurden Misserfolge im Bereich der Computersicherheit hervorgehoben werden. Die Pwnie Awards gelten als das Äquivalent der Oscars und der Goldenen Himbeeren im Bereich der Computersicherheit und werden seit 2007 jährlich verliehen.

Haupt Gewinner und Nominierungen:

  • Bester Serverfehler. Verliehen für die Entdeckung und Ausnutzung des technisch anspruchsvollsten und interessantesten Fehlers in einem Netzwerkdienst. Die Gewinner sind Forscher, die eine Sicherheitsanfälligkeit beim VPN-Anbieter Pulse Secure aufgedeckt haben, dessen VPN-Dienst von Twitter, Uber, Microsoft, SLA, SpaceX, Akamai, Intel, IBM, VMware, den US Navy und dem US Department of Homeland Security (DHS) genutzt wird und wahrscheinlich bei der Hälfte der Unternehmen aus der Fortune-500-Liste. Die Forscher fanden einen Backdoor, der einem nicht autorisierten Angreifer ermöglichte, das Passwort jedes Benutzers zu ändern. Die Möglichkeit, das Problem auszunutzen, um Root-Zugang zum VPN-Server zu erhalten, wo nur der HTTPS-Port geöffnet ist, wurde demonstriert;

    Unter den nicht preisgekrönten Anwärtern sind folgende erwähnenswert:

  • Der beste Fehler in der Client-Software. Gewinner ist eine leicht ausnutzbare in Cisco-Switches die gesamte Unternehmensnetzwerkwelt fast weltweit in Frage. in Apples FaceTime-Gruftanrufsystem, die es dem Initiator des Gruppenanrufs ermöglicht, die Annahme eines Anrufs auf der Seite des angerufenen Teilnehmers zu erzwingen (zum Beispiel zum Abhorchen und Ausspionieren).

    Auch für den Preis nominiert waren:

    • Sicherheitsanfälligkeit in WhatsApp, die es ermöglicht, Code auszuführen, indem ein speziell formatierter Sprachaufruf gesendet wird;
    • Sicherheitsanfälligkeit in der Grafikbibliothek Skia, die im Chrome-Browser verwendet wird und aufgrund von Fehlern bei Gleitpunktoperationen bei bestimmten geometrischen Transformationen zu Speicherbeschädigungen führen kann;
  • Die beste Schwachstelle, die zu einer Erhöhung der Berechtigungen führt. Der Preis wird für die Entdeckung vergeben Sicherheitsanfälligkeiten im iOS-Kernel, die über ipc_voucher ausgenutzt werden kann und über den Safari-Browser zugänglich ist.

    Auch für den Preis nominiert waren:

    • Sicherheitsanfälligkeit in Windows, die die vollständige Kontrolle über das System durch Manipulation der Funktion CreateWindowEx (win32k.sys) ermöglicht. Das Problem wurde bei der Analyse von Malware entdeckt, die die Schwachstelle vor ihrer Behebung ausnutzte;
    • Sicherheitsanfälligkeit in runc und LXC, die Docker und andere Containerisolation Systeme betrifft und es einem Angreifer ermöglicht, die ausführbare Datei runc aus einem kontrollierten isolierten Container zu ändern und Root-Rechte auf der Host-System-Seite zu erlangen;
    • Sicherheitsanfälligkeit in iOS (CFPrefsDaemon), die es ermöglicht, die Isolationsmodi zu umgehen und Code mit Root-Rechten auszuführen;
    • Sicherheitsanfälligkeit im TCP-Stack von Linux, das in Android verwendet wird, was lokalen Benutzern ermöglicht, ihre Zugriffsrechte auf dem Gerät zu erhöhen;
    • Schwachstellen im systemd-journald, was den Root-Zugriff ermöglicht;
    • Sicherheitsanfälligkeit in der tmpreaper-Utility zur Bereinigung von /tmp, die es ermöglicht, eine Datei an beliebiger Stelle im FS zu speichern;
  • Die beste kryptografische Attacke. Verliehen für die Entdeckung der bedeutendsten Schwachstellen in realen Systemen, Protokollen und Verschlüsselungsalgorithmen. Der Preis wurde für die Aufdeckung von Schwachstellen in der WPA3-Wireless-Netzwerkschutztechnologie und in EAP-pwd, was das Rekonstruieren des Verbindungspassworts ermöglicht und den Zugang zu einem WLAN ohne Wissen des Passworts ermöglicht.

    Auch nominiert waren:

    • Methode Angriffe auf die PGP- und S/MIME-Verschlüsselung in E-Mail-Clients;
    • Anwendung die Methode des Cold Boot für den Zugriff auf den Inhalt von verschlüsselten Bitlocker-Partitionen;
    • Sicherheitsanfälligkeit in OpenSSL, die die Trennung von Situationen für inkorrekte Zusatzfüllung und inkorrektes MAC ermöglicht. Das Problem rührt von einer fehlerhaften Verarbeitung von Null-Bytes in der Zusatzfüllung (Padding-Oracle);
    • Die Probleme mit in Deutschland verwendeten Identifikationskarten, die SAML verwenden;
    • Das Problem mit der Entropie von Zufallszahlen in der Implementierung der Unterstützung für U2F-Token in ChromeOS;
    • Sicherheitsanfälligkeit in Monocypher, wodurch Nullsignaturen von EdDSA als gültig anerkannt wurden.
  • Die innovativste Forschung. Der Preis wurde an den Entwickler der Technik verliehen Vektorisierte Emulation, die vektorielle AVX-512-Anweisungen zur Emulation der Programmausführung verwendet, was eine erhebliche Beschleunigung des Fuzzing-Tests ermöglicht (bis zu 40–120 Milliarden Instruktionen pro Sekunde). Diese Technik erlaubt es, auf jedem CPU-Kern 8 64-Bit oder 16 32-Bit virtuelle Maschinen parallel mit Anweisungen für das Fuzzing-Testing auszuführen.

    Die folgenden Technologien waren für den Preis nominiert:

    • Sicherheitsanfälligkeit in der Power Query-Technologie aus MS Excel, die es ermöglicht, Code auszuführen und Methoden zur Isolation von Anwendungen beim Öffnen speziell gestalteter Tabellenblätter zu umgehen;
    • Methode Manipulation des Autopiloten von Tesla-Fahrzeugen, um ein Abweichen in die Gegenfahrbahn zu provozieren;
    • Arbeit Reverse Engineering des ASICS-Chips Siemens S7-1200;
    • SonarSnoop – Technik zur Verfolgung der Fingerbewegungen zur Bestimmung des Entsperrcodes eines Smartphones basierend auf dem Prinzip des Sonars – der obere und untere Lautsprecher des Smartphones erzeugen unhörbare Schwingungen, während integrierte Mikrofone diese erfassen, um die von der Hand reflektierten Schwingungen zu analysieren;
    • Entwicklung im NSA-Tool zur Rückentwicklung Ghidra;
    • SICHER – Technik zur Erkennung der Verwendung identischer Funktionscodes in mehreren ausführbaren Dateien basierend auf der Analyse von Binärsammlungen;
    • Erstellung Methode zur Umgehung des Intel Boot Guard-Mechanismus, um modifizierte UEFI-Firmware ohne Überprüfung durch digitale Signaturen zu laden.
  • Die lächerlichste Reaktion des Anbieters (Lächerlichste Anbieterreaktion). Auszeichnung für die unangemessenste Reaktion auf eine Sicherheitsmeldung über ein eigenes Produkt. Gewinner sind die Entwickler der Krypto-Wallet BitFi, die von der überragenden Sicherheit ihres Produkts schwärmen, die sich in Wirklichkeit als illusorisch herausstellte, mit einer Verfolgung von Forschern, die Schwachstellen aufdecken, und ohne Auszahlung der versprochenen Belohnungen für die Entdeckung von Problemen;

    Zu den Nominierten für den Preis wurden ebenfalls in Betracht gezogen:

    • Der Sicherheitsexperte beschuldigte den Direktor von Atrient, ihn angegriffen zu haben, um ihn zur Löschung eines Berichts über eine entdeckte Schwachstelle zu zwingen. Der Direktor bestreitet den Vorfall, und die Überwachungskameras haben keinen Angriff aufgezeichnet.
    • Das Unternehmen Zoom hat die Behebung einer kritischen Sicherheitsanfälligkeiten Schwachstelle in seinem Konferenzsystem hinausgezögert und das Problem erst nach öffentlichem Aufmerksamkeit behoben. Die Schwachstelle ermöglichte es einem externen Angreifer, Daten von den Webcams von macOS-Nutzern zu erhalten, wenn eine speziell gestaltete Seite im Browser geöffnet wurde (Zoom startete auf der Clientseite einen HTTP-Server, der Befehle von der lokalen Anwendung entgegennahm).
    • Die Unfähigkeit, seit über 10 Jahren die ein Problem löst. Server für kryptografische Schlüssel von OpenPGP zu beheben, wurde damit gerechtfertigt, dass der Code in der spezifischen Sprache OCaml geschrieben sei und ohne Begleitpersonen bleibt.

    Die übertriebenste Ankündigung einer Schwachstellewird für die am dramatischsten und umfangreichsten geleitete Berichterstattung über ein Problem im Internet und in den Medien verliehen, insbesondere wenn sich die Schwachstelle letztlich als praktisch nicht ausnutzbar erweist. Der Preis wurde der Publikation Bloomberg für Statement die Entdeckung von Spionage-Chips in Super-Micro-Platinen verliehen, was sich nicht bestätigte, und die Quelle wies auf etwas ganz anderes hin. weitere Informationen.

    In der Nominierung erwähnt:

  • Самый большой провал (Most Epic FAIL). Der Preis wurde der Zeitschrift Bloomberg für eine Reihe sensationeller Artikel mit auffälligen Überschriften, erfundenen Fakten, dem Verschweigen von Quellen, dem Abrutschen in Verschwörungstheorien, der Verwendung von Begriffen wie „Cyberwaffen“ und unzulässigen Verallgemeinerungen verliehen. Unter den anderen Nominierten:
    • Die Shadowhammer-Attacke auf den Firmware-Update-Service von Asus;
    • Der Hack des als „unhackbar“ beworbenen BitFi-Speichers;
    • Datenlecks von personenbezogenen Daten und Token Zugriff auf Facebook.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster