ProHoster > Блог > interretaj novaĵoj > Pwnie Awards 2019: Plej Gravaj Sekurecaj Vundeblecoj kaj Fiaskoj

Pwnie Awards 2019: Plej Gravaj Sekurecaj Vundeblecoj kaj Fiaskoj

Ĉe la Black Hat USA-konferenco en Las Vegas okazis premioceremonio Premioj Pwnie 2019, kiu reliefigas la plej signifajn vundeblecojn kaj absurdajn fiaskojn en la kampo de komputila sekureco. La Pwnie-Premioj estas konsideritaj la ekvivalento de la Oskaroj kaj Oraj Framboj en la kampo de komputila sekureco kaj estas okazigitaj ĉiujare ekde 2007.

Ĉefa gajnantoj и nomumoj:

  • Plej bona servila cimo. Aljuĝita pro identigado kaj ekspluatado de la plej teknike kompleksa kaj interesa cimo en retservo. La gajnantoj estis la esploristoj rivelis vundebleco en la VPN-provizanto Pulse Secure, kies VPN-servo estas uzata de Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, la Usona Mararmeo, la Usona Departemento pri Enlanda Sekureco (DHS) kaj verŝajne duono de la kompanioj el la listo de Fortune 500. Esploristoj trovis malantaŭan pordon, kiu permesas al neaŭtentikigita atakanto ŝanĝi la pasvorton de iu ajn uzanto. La ebleco ekspluati la problemon por akiri radikan aliron al VPN-servilo sur kiu nur la HTTPS-haveno estas malfermita estas pruvita;

    Inter la kandidatoj, kiuj ne ricevis la premion, oni povas noti jenon:

    • Funkciigite en la antaŭ-aŭtentikiga stadio vundebleco en la daŭra integriga sistemo de Jenkins, kiu ebligas al vi ekzekuti kodon sur la servilo. La vundebleco estas aktive uzata de bots por organizi kriptan monerminadon sur serviloj;
    • Kritikaj vundebleco en la poŝtservilo Exim, kiu ebligas al vi ekzekuti kodon sur la servilo kun radikaj rajtoj;
    • Vundeblecoj en Xiongmai XMeye P2P IP-fotiloj, permesante vin regi la aparaton. La fotiloj estis liveritaj kun inĝenieristikpasvorto kaj ne uzis ciferecan signaturkonfirmon dum ĝisdatigado de la firmvaro;
    • Kritikaj vundebleco en la efektivigo de la RDP-protokolo en Vindozo, kiu ebligas al vi malproksime ekzekuti vian kodon;
    • Vundebleco en WordPress, asociita kun ŝarĝo de PHP-kodo sub la alivestiĝo de bildo. La problemo permesas al vi ekzekuti arbitran kodon en la servilo, havante la privilegiojn de la aŭtoro de eldonaĵoj (Aŭtoro) en la retejo;
  • Plej bona Klienta Programaro Cimo. La gajninto estis la facile uzebla vundebleco en la Apple FaceTime grupvoka sistemo, permesante al la iniciatinto de grupvoko devigi la vokon esti akceptita de la vokita partio (ekzemple, por aŭskulti kaj fiŝi).

    Ankaŭ nomumitaj por la premio estis:

    • Vundebleco en WhatsApp, kiu ebligas al vi ekzekuti vian kodon sendante speciale desegnitan voĉvokon;
    • Vundebleco en la grafika biblioteko de Skia uzata en la retumilo Chrome, kiu povas konduki al koruptado de la memoro pro eraroj de glitpunktoj en iuj geometriaj transformoj;
  • Plej bona Alteco de Privilegia Vulnerabileco. Venko estis aljuĝita por identigado vundeblecoj en la iOS-kerno, kiu povas esti ekspluatata per ipc_voucher, alirebla per la retumilo Safari.

    Ankaŭ nomumitaj por la premio estis:

    • Vundebleco en Vindozo, permesante vin akiri plenan kontrolon de la sistemo per manipuladoj kun la funkcio CreateWindowEx (win32k.sys). La problemo estis identigita dum la analizo de malware kiu ekspluatis la vundeblecon antaŭ ol ĝi estis riparita;
    • Vundebleco en runc kaj LXC, influante Docker kaj aliajn ujajn izolitajn sistemojn, permesante al izolita ujo kontrolita de atakanto ŝanĝi la ruleblan dosieron de runc kaj akiri radikajn privilegiojn ĉe la mastro-sistemflanko;
    • Vundebleco en iOS (CFPrefsDaemon), kiu permesas vin preteriri izolaj reĝimoj kaj ekzekuti kodon kun radikaj rajtoj;
    • Vundebleco en la eldono de la Linukso TCP-stako uzata en Android, permesante al loka uzanto altigi siajn privilegiojn sur la aparato;
    • Vundeblecoj en systemd-journald, kiu ebligas al vi akiri radikrajtojn;
    • Vundebleco en la tmpreaper ilo por purigi /tmp, kiu ebligas vin konservi vian dosieron en iu ajn parto de la dosiersistemo;
  • Plej bona Kriptografia Atako. Aljuĝite pro identigado de la plej signifaj mankoj en realaj sistemoj, protokoloj kaj ĉifrado-algoritmoj. La premio estis aljuĝita por identigado vundeblecoj en WPA3 sendrata reto sekureca teknologio kaj EAP-pwd, kiu ebligas al vi rekrei la konektan pasvorton kaj akiri aliron al la sendrata reto sen scii la pasvorton.

    Aliaj kandidatoj por la premio estis:

    • Metodo atakoj kontraŭ PGP kaj S/MIME-ĉifrado en retpoŝtaj klientoj;
    • Apliko malvarma lanĉa metodo por akiri aliron al la enhavo de ĉifritaj Bitlocker-diskoj;
    • Vundebleco en OpenSSL, kiu ebligas al vi apartigi la situaciojn de ricevado de malĝusta kompletigo kaj malĝusta MAC. La problemo estas kaŭzita de malĝusta uzado de nul bajtoj en padding orakolo;
    • Problemoj kun ID-kartoj uzataj en Germanio uzante SAML;
    • problemo kun la entropio de hazardaj nombroj en la efektivigo de subteno por U2F-ĵetonoj en ChromeOS;
    • Vundebleco en Monocypher, pro kiu nulaj EdDSA subskriboj estis rekonitaj kiel ĝustaj.
  • La plej noviga esplorado iam ajn. La premio estis aljuĝita al la ellaboranto de la teknologio Vektorigita Emulado, kiu uzas AVX-512-vektorinstrukciaĵon por kopii programekzekuton, enkalkulante signifan pliiĝon en fuzzing-testrapideco (ĝis 40-120 miliardoj da instrukcioj je sekundo). La tekniko permesas al ĉiu CPU-kerno funkcii 8 64-bitajn aŭ 16 32-bitajn virtualajn maŝinojn paralele kun instrukcioj por fuziga testado de la aplikaĵo.

    La sekvantaroj estis elekteblaj por la premio:

    • Vundebleco en Power Query-teknologio de MS Excel, kiu ebligas al vi organizi kodan ekzekuton kaj preterpasi aplikajn izolitajn metodojn kiam vi malfermas speciale desegnitajn kalkultabelojn;
    • Metodo trompi la aŭtopiloton de Tesla aŭtoj por provoki veturadon en la alirantan lenon;
    • laboro inversa inĝenierado de ASICS-blato Siemens S7-1200;
    • SonarSnoop - fingromovadtekniko por determini la telefonon malŝlosi kodon, surbaze de la principo de sonarfunkciado - la supraj kaj malsupraj laŭtparoliloj de la inteligenta telefono generas neaŭdeblajn vibrojn, kaj la enkonstruitaj mikrofonoj prenas ilin por analizi la ĉeeston de vibroj reflektitaj de la poŝtelefono. mano;
    • Disvolviĝo la ilaro Ghidra de inversa inĝenierado de la NSA;
    • SAFE — tekniko por determini la uzon de kodo por identaj funkcioj en pluraj ruleblaj dosieroj surbaze de la analizo de binaraj asembleoj;
    • kreaĵo metodo por preteriri la mekanismon Intel Boot Guard por ŝarĝi modifitan UEFI-firmaron sen cifereca subskriba konfirmo.
  • La plej lama reago de vendisto (Plej Lama Vendisto-Respondo). Nomumo por la plej neadekvata respondo al mesaĝo pri vundebleco en via propra produkto. La gajnantoj estas la programistoj de la kripta monujo BitFi, kiuj krias pri la ultra-sekureco de sia produkto, kiu fakte montriĝis imaga, persekutas esploristojn, kiuj identigas vundeblecojn, kaj ne pagas la promesitajn gratifikojn por identigi problemojn;

    Inter la kandidatoj por la premio ankaŭ konsideris:

    • Sekureca esploristo akuzis la direktoron de Atrent je atakado de li por devigi lin forigi raporton pri vundebleco, kiun li identigis, sed la direktoro neas la okazaĵon kaj gvatkameraoj ne registris la atakon;
    • Zoom prokrastis ripari kritikan problemon vundeblecoj en sia konferenca sistemo kaj korektis la problemon nur post publika malkaŝo. La vundebleco permesis al ekstera atakanto akiri datumojn de la retaj fotiloj de uzantoj de macOS kiam malfermis speciale desegnitan paĝon en la retumilo (Zoom lanĉis http-servilon ĉe la kliento, kiu ricevis komandojn de la loka aplikaĵo).
    • Malsukceso korekti dum pli ol 10 jaroj la problemo kun OpenPGP kriptaj ŝlosilserviloj, citante la fakton ke la kodo estas skribita en specifa OCaml-lingvo kaj restas sen prizorganto.

    La plej furioza anonco pri vundebleco ĝis nun. Aljuĝita pro la plej kompatinda kaj grandskala kovrado de la problemo en la interreto kaj la amaskomunikilaro, precipe se la vundebleco finfine montriĝas neekspluatebla en la praktiko. La premio estis aljuĝita al Bloomberg por deklaro pri la identigo de spionaj blatoj en Super Micro-tabuloj, kio ne estis konfirmita, kaj la fonto indikis absolute aliaj informoj.

    Menciite en la nomumo:

    • Vulnerability en libssh, kiu tuŝita ununuraj servilaj aplikoj (libssh preskaŭ neniam estas uzata por serviloj), sed estis prezentita de la NCC-Grupo kiel vundebleco, kiu permesas ataki ajnan OpenSSH-servilon.
    • Atako uzante DICOM-bildojn. La afero estas, ke vi povas prepari ruleblan dosieron por Vindozo, kiu aspektos kiel valida DICOM-bildo. Ĉi tiu dosiero povas esti elŝutita al la medicina aparato kaj efektivigita.
    • Vundebleco Thrangrycat, kiu ebligas al vi preteriri la sekuran lanĉan mekanismon sur Cisco-aparatoj. La vundebleco estas klasifikita kiel troa problemo ĉar ĝi postulas radikrajtojn por ataki, sed se la atakanto jam povis akiri radikan aliron, do pri kia sekureco ni povas paroli. La vundebleco ankaŭ venkis en la kategorio de la plej subtaksitaj problemoj, ĉar ĝi permesas vin enkonduki konstantan malantaŭan pordon en Flash;
  • Plej granda fiasko (Plej Epopea FAIL). La venko estis aljuĝita al Bloomberg por serio de sensaciaj artikoloj kun laŭtaj fraptitoloj sed inventitaj faktoj, subpremado de fontoj, deveno al konspiraj teorioj, uzo de esprimoj kiel ekzemple "ciberarmiloj", kaj neakcepteblaj ĝeneraligoj. Aliaj kandidatoj inkludas:
    • Shadowhammer-atako al Asus-firmvaro-ĝisdatigservo;
    • Haki BitFi-trezorejon reklamitan kiel "nehakebla";
    • Likoj de personaj datumoj kaj ĵetonoj aliro al Facebook.

fonto: opennet.ru

Aldoni komenton