En la conferencia Black Hat USA en Las Vegas ceremonia de premiación , que pone de relieve las vulnerabilidades y fallos absurdos más significativos en el ámbito de la seguridad informática. Los premios Pwnie se consideran el equivalente a los Oscar y las Frambuesas de Oro en el campo de la seguridad informática y se celebran anualmente desde 2007.
El principal и :
- El mejor error del servidor. Otorgado por identificar y explotar el error técnicamente más complejo e interesante en un servicio de red. Los ganadores fueron los investigadores. vulnerabilidad en el proveedor de VPN Pulse Secure, cuyo servicio VPN es utilizado por Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, la Marina de los EE. UU., el Departamento de Seguridad Nacional de los EE. UU. (DHS) y probablemente la mitad de los empresas de la lista Fortune 500. Los investigadores han encontrado una puerta trasera que permite a un atacante no autenticado cambiar la contraseña de cualquier usuario. Se ha demostrado la posibilidad de aprovechar el problema para obtener acceso root a un servidor VPN en el que sólo está abierto el puerto HTTPS;
Entre los candidatos que no recibieron el premio se pueden destacar los siguientes:
- Operado en la etapa de preautenticación en el sistema de integración continua de Jenkins, que le permite ejecutar código en el servidor. Los bots utilizan activamente la vulnerabilidad para organizar la extracción de criptomonedas en servidores;
- crítico en el servidor de correo Exim, que le permite ejecutar código en el servidor con derechos de root;
- en las cámaras IP Xiongmai XMeye P2P, lo que le permite tomar el control del dispositivo. Las cámaras recibieron una contraseña de ingeniería y no utilizaron verificación de firma digital al actualizar el firmware;
- crítico en la implementación del protocolo RDP en Windows, que le permite ejecutar su código de forma remota;
- en WordPress, asociado con la carga de código PHP bajo la apariencia de una imagen. El problema le permite ejecutar código arbitrario en el servidor, teniendo los privilegios del autor de publicaciones (Autor) en el sitio;
- Error en el mejor software cliente. El ganador fue el fácil de usar. en el sistema de llamadas grupales Apple FaceTime, lo que permite al iniciador de una llamada grupal iniciar la aceptación forzada de la llamada por parte de la parte llamada (por ejemplo, para escuchar y espiar).
También fueron nominados al premio:
- en WhatsApp, que te permite ejecutar tu código enviando una llamada de voz especialmente diseñada;
- en la biblioteca de gráficos Skia utilizada en el navegador Chrome, lo que puede provocar daños en la memoria debido a errores de punto flotante en algunas transformaciones geométricas;
- Mejor vulnerabilidad de elevación de privilegios. La victoria fue otorgada por identificar en el kernel de iOS, que se puede explotar a través de ipc_voucher, accesible a través del navegador Safari.
También fueron nominados al premio:
- en Windows, lo que le permite obtener control total sobre el sistema mediante manipulaciones con la función CreateWindowEx (win32k.sys). El problema se identificó durante el análisis del malware que explotaba la vulnerabilidad antes de que se solucionara;
- en runc y LXC, afecta a Docker y otros sistemas de aislamiento de contenedores, permitiendo que un contenedor aislado controlado por un atacante cambie el archivo ejecutable de runc y obtenga privilegios de root en el lado del sistema host;
- en iOS (CFPrefsDaemon), que le permite omitir los modos de aislamiento y ejecutar código con derechos de root;
- en la edición de la pila TCP de Linux utilizada en Android, que permite a un usuario local elevar sus privilegios en el dispositivo;
- en systemd-journald, que le permite obtener derechos de root;
- en la utilidad de limpieza tmpreaper /tmp, que le permite guardar su archivo en cualquier parte del sistema de archivos;
- Mejor ataque criptográfico. Otorgado por identificar las brechas más significativas en sistemas, protocolos y algoritmos de cifrado reales. El premio fue otorgado por identificar en tecnología de seguridad de red inalámbrica WPA3 y EAP-pwd, que le permite recrear la contraseña de conexión y obtener acceso a la red inalámbrica sin conocer la contraseña.
Otros candidatos al premio fueron:
- ataques al cifrado PGP y S/MIME en clientes de correo electrónico;
- método de arranque en frío para obtener acceso al contenido de particiones Bitlocker cifradas;
- en OpenSSL, que le permite separar las situaciones de recepción de relleno incorrecto y MAC incorrecta. El problema se debe al manejo incorrecto de cero bytes en el relleno de Oracle;
- con documentos de identidad utilizados en Alemania utilizando SAML;
- con la entropía de números aleatorios en la implementación del soporte para tokens U2F en ChromeOS;
- en Monocypher, por lo que las firmas EdDSA nulas se reconocieron como correctas.
- La investigación más innovadora jamás realizada. El premio fue otorgado al desarrollador de la tecnología. , que utiliza instrucciones vectoriales AVX-512 para emular la ejecución del programa, lo que permite un aumento significativo en la velocidad de las pruebas de fuzzing (hasta 40-120 mil millones de instrucciones por segundo). La técnica permite que cada núcleo de CPU ejecute 8 máquinas virtuales de 64 bits o 16 de 32 bits en paralelo con instrucciones para realizar pruebas difusas de la aplicación.
Pudieron optar al premio:
- en la tecnología Power Query de MS Excel, que le permite organizar la ejecución del código y evitar los métodos de aislamiento de aplicaciones al abrir hojas de cálculo especialmente diseñadas;
- engañar al piloto automático de los coches Tesla para provocar la conducción en el carril contrario;
- ingeniería inversa del chip ASICS Siemens S7-1200;
- - técnica de seguimiento del movimiento de los dedos para determinar el código de desbloqueo del teléfono, basada en el principio de funcionamiento del sonar - los altavoces superior e inferior del teléfono inteligente generan vibraciones inaudibles y los micrófonos incorporados las captan para analizar la presencia de vibraciones reflejadas en el mano;
- el conjunto de herramientas de ingeniería inversa Ghidra de la NSA;
- — una técnica para determinar el uso de código para funciones idénticas en varios archivos ejecutables basada en el análisis de ensamblajes binarios;
- un método para omitir el mecanismo Intel Boot Guard para cargar firmware UEFI modificado sin verificación de firma digital.
- La reacción más tonta de un vendedor (Respuesta más tonta del proveedor). Nominación a la respuesta más inadecuada a un mensaje sobre una vulnerabilidad en su propio producto. Los ganadores son los desarrolladores de la criptobilletera BitFi, que gritan sobre la ultraseguridad de su producto, que en realidad resultó ser imaginario, acosan a los investigadores que identifican vulnerabilidades y no pagan las bonificaciones prometidas por identificar problemas;
Entre los aspirantes al premio también se consideran:
- Un investigador de seguridad acusó al director de Atrient de atacarlo para obligarlo a retirar un informe sobre una vulnerabilidad que identificó, pero el director niega el incidente y las cámaras de vigilancia no registraron el ataque;
- Zoom retrasó la solución de un problema crítico en su sistema de conferencias y corrigió el problema sólo después de la divulgación pública. La vulnerabilidad permitió a un atacante externo obtener datos de las cámaras web de los usuarios de macOS al abrir una página especialmente diseñada en el navegador (Zoom lanzó un servidor http en el lado del cliente que recibía comandos de la aplicación local).
- Falta de corrección durante más de 10 años. con servidores de claves criptográficas OpenPGP, citando el hecho de que el código está escrito en un lenguaje OCaml específico y permanece sin mantenedor.
El anuncio de vulnerabilidad más publicitado hasta el momento. Otorgado por la cobertura más patética y a gran escala del problema en Internet y los medios de comunicación, especialmente si la vulnerabilidad finalmente resulta inexplotable en la práctica. El premio fue otorgado a Bloomberg por sobre la identificación de chips espía en placas Super Micro, lo cual no fue confirmado, y la fuente indicó absolutamente .
Mencionado en la nominación:
- Vulnerabilidad en libssh, que aplicaciones de servidor único (libssh casi nunca se usa para servidores), pero fue presentada por el Grupo NCC como una vulnerabilidad que permite atacar cualquier servidor OpenSSH.
- Ataque utilizando imágenes DICOM. El punto es que puedes preparar un archivo ejecutable para Windows que se verá como una imagen DICOM válida. Este archivo se puede descargar al dispositivo médico y ejecutar.
- Vulnerabilidad , que le permite omitir el mecanismo de arranque seguro en dispositivos Cisco. La vulnerabilidad se clasifica como un problema exagerado porque requiere derechos de root para atacar, pero si el atacante ya pudo obtener acceso de root, entonces de qué seguridad podemos hablar. La vulnerabilidad también ganó en la categoría de los problemas más subestimados, ya que permite introducir una puerta trasera permanente en Flash;
- El mayor fracaso (FALLO más épico). La victoria fue concedida a Bloomberg por una serie de artículos sensacionalistas con titulares ruidosos pero hechos inventados, supresión de fuentes, descenso a teorías de conspiración, uso de términos como “ciberarmas” y generalizaciones inaceptables. Otros nominados incluyen:
- Ataque Shadowhammer al servicio de actualización de firmware de Asus;
- Hackear una bóveda BitFi anunciada como "imposible de piratear";
- Fugas de datos personales y acceso a facebook.
Fuente: opennet.ru