Las Vegases toimunud Black Hat USA konverentsil auhinnatseremonia , mille raames tunnustatakse kõige olulisemaid haavatavusi ja absurdseid ebaõnnestumisi arvutiturbe valdkonnas. Pwnie Awards on tuntud kui Oscar ja Kuldne vaarikas arvutiturbe alal ning seda toimub igal aastal alates 2007. aastast.
Peamised ja :
- Parim serveri viga. Auhind antakse kõige tehniliselt keeruka ja huvitava vea tuvastamise ja ärakasutamise eest võrguteenuses. Võitjateks on kuulutatud teadlased, Pulse Secure VPN-teenuse haavatavus, mida kasutavad Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, USA merevägi, USA siseministeerium ja tõenäoliselt pooled Fortune 500 nimekirjas olevatest ettevõtetest. Uurijad avastasid tahvelarvutisse tagapääsu, mis võimaldab mitteautentitud ründajal muuta igasuguse kasutaja parooli. Probleemi ärakasutamise võimalust demonstreeriti, et saada juur-juurdepääs VPN-serverile, kus on avatud ainult HTTPS-port;
Auhinda mitte saanud kandidaatide seas tasub mainida:
- Auhinnataotlus, mis on kasutatud autentimise eel Jenkins’i pideva integreerimise süsteemis, mis võimaldab koodi täitmist serveris. Haavatavust kasutatakse aktiivselt robotite poolt krüptovaluuta kaevandamiseks serverites;
- Kriitiline haavatavus Exim e-posti serveris, mis võimaldab koodi täitmist serveris juurõigustega;
- Xiongmai XMeye P2P IP-kaamerates, mis võimaldab seadme üle kontrolli haarata. Kaamerad tarniti tehaseparooliga ja ei kasutanud tarkvara uuendamisel digitaalallkirjade kontrollimist;
- Kriitiline Windowsi RDP protokolli rakenduses, mis võimaldab kaugelt oma koodi käitada;
- WordPressis, mis on seotud PHP-koodi üleslaadimisega pildi vormis. Probleem võimaldab käivitada suvalist koodi serveris, omades autori (Author) õigusi veebisaidil;
- Parim viga kliendi tarkvaras. Võitjaks tunnistati kergesti ära kasutatav Apple FaceTime'i grupikõnede süsteemis, mis võimaldab grupikõne algatajal sundida kõne vastuvõtjat vastu võtma (näiteks kuulamiseks ja pealtkuulamiseks).
Preemiale pretendeerisid ka:
- WhatsAppis, mis võimaldab suvalise koodi täitmist, kui saata spetsiaalset vormindatud häälkõnet;
- Chrome'i brauseris kasutatavas Skia graafikakogus, mis võib põhjustada mälukahjustusi, kuna ujuki täpsuse operatsioonide tõttu teatud geomeetriliste teisenduste korral;
- Parim haavatavus, mis viib õiguste tõusuni. Võit anti rikka avastamise eest iOS-i tuumas, mida saab ära kasutada ipc_voucher kaudu, mis on saadaval Safari brauseri kaudu.
Preemiale pretendeerisid ka:
- Windowsis, mis võimaldab saada täielikku kontrolli süsteemi üle, manipuleerides CreateWindowEx funktsiooniga (win32k.sys). Probleem tuvastati pahavara analüüsi käigus, mis kasutas haavatavust enne selle parandamist;
- runc ja LXC, mis mõjutavad Dockerit ning teisi konteinerit isolatsiooni süsteeme, võimaldades ründajal, kes kontrollib isoleeritud konteinerit, muuta runci täitmisfaili ja saada root-privileegid host-süsteemi poolel;
- iOS-is (CFPrefsDaemon), mis võimaldab ületada isolatsiooni režiime ja käivitada koodi root-õigustega;
- Linuxi TCP-steki redigeerimises, mida kasutatakse Androidis, mis võimaldab kohalikul kasutajal tõsta oma õigusi seadmes;
- systemd-journalis, mis võimaldab saada root-õigused;
- tmpreaper utiliidis, mis on mõeldud /tmp puhastamiseks, võimaldades hoida oma faili igas FS-i osas;
- Parim krüptograafiline rünnak. Autasustatakse kõige olulisemate haavatavuste avastamise eest reaalses süsteemides, protokollides ja šifreerimisalgoritmides. Auhind anti välja avastamise eest WPA3 ja EAP-pwd tehnoloogias, mis võimaldavad taastada ühenduse parool ja pääseda ligi traadita võrgule ilma parooli teadmata.
Preemia saajate hulka kuulusid:
- PGP ja S/MIME krüpteerimisrünnakud e-posti klientides;
- külma taaskäivitamise meetodi rakendamine Bitlockeri šifreeritud sektsioonide sisu kätte saamiseks;
- OpenSSL-is, mis võimaldab eristada olukordi vale täiendava täidise ja vale MAC-i saamisel. Probleem tuleneb ebakorrektsetest nullbittide töötlusest täiendavas täidisemas (padding oracle);
- Saksamaal kasutusele võetud SAML-i kasutavate isikutuvastustkaartide rakendamine;
- juhuslike arvude entropiast U2F tokenite toetuse rakenduses ChromeOS;
- Monocypher-is, mille tõttu tunnistati kehtivateks null EdDSA allkirjad.
- Kõige innovaatilisem uurimus. Preemia anti tehnika arendajale , kasutades AVX-512 vektorkäske programmide käitamise emuleerimiseks, võimaldades oluliselt suurendada fuzzing-testeerimise kiirus (kuni 40-120 miljardit käsku sekundis). Tehnika võimaldab igal CPU tuumal samal ajal käivitada 8 64-bitist või 16 32-bitist virtuaalmasinat, mis on mõeldud rakenduste fuzzing-testeerimiseks.
Preemia saamiseks kandideerisid:
- Power Query tehnologia MS Excelis, mis võimaldab korraldada koodi käivitamist ja ületada rakenduste isoleerimise meetodeid spetsiaalselt vormistatud elektrooniliste tabelite avamisel;
- Tesla autode autopiloodi petmine, et provotseerida vastassuunas sõitmist;
- Siemens S7-1200 ASICS-kiibi tagasivõtmine;
- — sõrmejälgede jälgimise tehnika, et määrata telefonide lukustuskood, tuginedes sonarite töötamise põhimõttele — nutitelefoni ülemine ja alumine kõlar genereerivad kuulmatuid resumptions, ja sisseehitatud mikrofonid püüavad neid kinni käe peegeldunud lainete analüüsimiseks;
- Ghidra tagasivõtmise tööriistade ANB;
- — tehnika identifitseerimist koodi kasutamise kohta, mis sisaldab samu funktsioone mitmes täitmisfailis binaarsete kogumite analüüsi põhjal;
- meetodi leidmine Intel Boot Guard mehhanismi vältimiseks muudetud UEFI-firmware'de laadimiseks ilma digitaalsete allkirjade kontrollimiseta.
- Kõige lameram reageering müüjalt (Lame Vendor Response). Auhind kõige ebaadekvaatse reageeringu eest oma toote haavatavuse teatega. Võitjateks osutusid BitFi krüptorahakoti arendajad, kes hüüdsid oma toote erakordsest turvalisusest, mis osutus tegelikult valeinformatsiooniks, ja korraldasid jahtimist uurijatele, kes tuvastasid haavatavusi, ning ei maksnud lubatud preemiaid probleemide tuvastamise eest;
Preemia saamise kandidaatide seas kaaluti ka:
- Turvaspetsialist süüdistas Atrienti direktorit rünnaku korraldamises, et sundida eemaldama tema tuvastatud haavatavuse raport, kuid direktor eitab intsidenti ja jälgimiskaamerad ei ole seda rünnakut registreerinud;
- Ettevõte Zoom venitas kriitilise vea parandamist oma konverentsi süsteemis ja lahendas probleemi alles pärast avalikku tähelepanu. Turvanõrkuse tõttu sai väline ründaja ligipääsu macOS kasutajate veebikaamerate andmetele, kui avati spetsiaalselt kujundatud leht (Zoom käivitas kliendi poolel HTTP-serveri, mis vastu võttis käske kohalikule rakendusele).
- üle 10 aasta edutuks jäänud OpenPGP krüptograafiliste võtmete serveritega, põhjendades seda sellega, et kood on kirjutatud spetsiifilises OCaml keeles ja jääb hoolduseta.
Kõige ebatavam väide turvanõrkuse kohta. Antakse kõige üleolevama ja ulatuslikuma probleemide kajastuse eest internetis ja meedias, eriti kui turvanõrkus osutub lõpuks mittekasutatavaks. Auhind anti välja väljaandele Bloomberg Super Micro plaatide spionaažikiipide avastamisest, mis ei leidnud kinnitust, nüüd allika andmed viitavad hoopis .
Kategoorias on mainitud:
- Turvanõrkust libssh, mis üksikuid serverirakendusi (libssh ei kasutata serverites peaaegu kunagi), kuid NCC Group esitles seda kui turvanõrkust, mis võimaldab rünnata iga serverit OpenSSH.
- DICOM-formaadiga pilte kasutavad rünnakud. Idee on selles, et saate luua Windowsi täitevfaili, mis näeb välja nagu kehtiv DICOM-formaadis pilt. Seda faili saab üles laadida meditsiiniseadmestikku ja käivitada.
- Haavatavus , mis võimaldab ületada Cisco seadmete turvalise laadimise mehhanismi. Haavatavus on klassifitseeritud äärmuslikuks probleemiks, kuna nõuab rünnaku jaoks root-õigusi, kuid kui ründaja on juba root-juurdepääsu saanud, siis millest turvalisusest saame rääkida. Haavatavus on samal ajal võitnud kõige alahinnatud probleemide kategoorias, kuna see võimaldab Flashi sisse viia alalise tagaukse;
- Suurim ebaõnnestumine (Most Epic FAIL). Auhind läks väljaandele Bloomberg mitme sensatsioonilise artikli eest, millel olid uhked pealkirjad, kuid väljamõeldud faktid, allikate varjamine, teooriatehnikate kasutamine nagu "küberrelvad" ja lubamatud üldistused. Teised nomineeritud on:
- Shadowhammeri rünnak Asus'i püsivara värskendusteenusele;
- BitFi ladustamise häkkimine, mida reklaamiti kui "murdmatut";
- Isikuandmete lekked ja Facebooki juurdepääse.
Allikas: opennet.ru
