Pwnie Awards 2019: kõige olulisemad haavatavused ja turvalisuse ebaõnnestumised

Las Vegases toimunud Black Hat USA konverentsil leidis aset auhinnatseremonia Pwnie Awards 2019, mille raames tunnustatakse kõige olulisemaid haavatavusi ja absurdseid ebaõnnestumisi arvutiturbe valdkonnas. Pwnie Awards on tuntud kui Oscar ja Kuldne vaarikas arvutiturbe alal ning seda toimub igal aastal alates 2007. aastast.

Peamised võitjad ja kategooriad:

  • Parim serveri viga. Auhind antakse kõige tehniliselt keeruka ja huvitava vea tuvastamise ja ärakasutamise eest võrguteenuses. Võitjateks on kuulutatud teadlased, kes tuvastasid Pulse Secure VPN-teenuse haavatavus, mida kasutavad Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, USA merevägi, USA siseministeerium ja tõenäoliselt pooled Fortune 500 nimekirjas olevatest ettevõtetest. Uurijad avastasid tahvelarvutisse tagapääsu, mis võimaldab mitteautentitud ründajal muuta igasuguse kasutaja parooli. Probleemi ärakasutamise võimalust demonstreeriti, et saada juur-juurdepääs VPN-serverile, kus on avatud ainult HTTPS-port;

    Auhinda mitte saanud kandidaatide seas tasub mainida:

    • Auhinnataotlus, mis on kasutatud autentimise eel haavatavus Jenkins’i pideva integreerimise süsteemis, mis võimaldab koodi täitmist serveris. Haavatavust kasutatakse aktiivselt robotite poolt krüptovaluuta kaevandamiseks serverites;
    • Kriitiline haavatavus haavatavus Exim e-posti serveris, mis võimaldab koodi täitmist serveris juurõigustega;
    • Haavatavused Xiongmai XMeye P2P IP-kaamerates, mis võimaldab seadme üle kontrolli haarata. Kaamerad tarniti tehaseparooliga ja ei kasutanud tarkvara uuendamisel digitaalallkirjade kontrollimist;
    • Kriitiline haavatavus Windowsi RDP protokolli rakenduses, mis võimaldab kaugelt oma koodi käitada;
    • Haavatavus WordPressis, mis on seotud PHP-koodi üleslaadimisega pildi vormis. Probleem võimaldab käivitada suvalist koodi serveris, omades autori (Author) õigusi veebisaidil;
  • Parim viga kliendi tarkvaras. Võitjaks tunnistati kergesti ära kasutatav haavatavus Apple FaceTime'i grupikõnede süsteemis, mis võimaldab grupikõne algatajal sundida kõne vastuvõtjat vastu võtma (näiteks kuulamiseks ja pealtkuulamiseks).

    Preemiale pretendeerisid ka:

    • Haavatavus WhatsAppis, mis võimaldab suvalise koodi täitmist, kui saata spetsiaalset vormindatud häälkõnet;
    • Haavatavus Chrome'i brauseris kasutatavas Skia graafikakogus, mis võib põhjustada mälukahjustusi, kuna ujuki täpsuse operatsioonide tõttu teatud geomeetriliste teisenduste korral;
  • Parim haavatavus, mis viib õiguste tõusuni. Võit anti rikka avastamise eest haavatavusest iOS-i tuumas, mida saab ära kasutada ipc_voucher kaudu, mis on saadaval Safari brauseri kaudu.

    Preemiale pretendeerisid ka:

    • Haavatavus Windowsis, mis võimaldab saada täielikku kontrolli süsteemi üle, manipuleerides CreateWindowEx funktsiooniga (win32k.sys). Probleem tuvastati pahavara analüüsi käigus, mis kasutas haavatavust enne selle parandamist;
    • Haavatavus runc ja LXC, mis mõjutavad Dockerit ning teisi konteinerit isolatsiooni süsteeme, võimaldades ründajal, kes kontrollib isoleeritud konteinerit, muuta runci täitmisfaili ja saada root-privileegid host-süsteemi poolel;
    • Haavatavus iOS-is (CFPrefsDaemon), mis võimaldab ületada isolatsiooni režiime ja käivitada koodi root-õigustega;
    • Haavatavus Linuxi TCP-steki redigeerimises, mida kasutatakse Androidis, mis võimaldab kohalikul kasutajal tõsta oma õigusi seadmes;
    • Haavatavused systemd-journalis, mis võimaldab saada root-õigused;
    • Haavatavus tmpreaper utiliidis, mis on mõeldud /tmp puhastamiseks, võimaldades hoida oma faili igas FS-i osas;
  • Parim krüptograafiline rünnak. Autasustatakse kõige olulisemate haavatavuste avastamise eest reaalses süsteemides, protokollides ja šifreerimisalgoritmides. Auhind anti välja avastamise eest haavatavuste WPA3 ja EAP-pwd tehnoloogias, mis võimaldavad taastada ühenduse parool ja pääseda ligi traadita võrgule ilma parooli teadmata.

    Preemia saajate hulka kuulusid:

    • Meetod PGP ja S/MIME krüpteerimisrünnakud e-posti klientides;
    • Kasutamine külma taaskäivitamise meetodi rakendamine Bitlockeri šifreeritud sektsioonide sisu kätte saamiseks;
    • Haavatavus OpenSSL-is, mis võimaldab eristada olukordi vale täiendava täidise ja vale MAC-i saamisel. Probleem tuleneb ebakorrektsetest nullbittide töötlusest täiendavas täidisemas (padding oracle);
    • Probleemid Saksamaal kasutusele võetud SAML-i kasutavate isikutuvastustkaartide rakendamine;
    • Probleem juhuslike arvude entropiast U2F tokenite toetuse rakenduses ChromeOS;
    • Haavatavus Monocypher-is, mille tõttu tunnistati kehtivateks null EdDSA allkirjad.
  • Kõige innovaatilisem uurimus. Preemia anti tehnika arendajale Vektoriseeritud emulatsioon, kasutades AVX-512 vektorkäske programmide käitamise emuleerimiseks, võimaldades oluliselt suurendada fuzzing-testeerimise kiirus (kuni 40-120 miljardit käsku sekundis). Tehnika võimaldab igal CPU tuumal samal ajal käivitada 8 64-bitist või 16 32-bitist virtuaalmasinat, mis on mõeldud rakenduste fuzzing-testeerimiseks.

    Preemia saamiseks kandideerisid:

    • Haavatavus Power Query tehnologia MS Excelis, mis võimaldab korraldada koodi käivitamist ja ületada rakenduste isoleerimise meetodeid spetsiaalselt vormistatud elektrooniliste tabelite avamisel;
    • Meetod Tesla autode autopiloodi petmine, et provotseerida vastassuunas sõitmist;
    • Töö Siemens S7-1200 ASICS-kiibi tagasivõtmine;
    • SonarSnoop — sõrmejälgede jälgimise tehnika, et määrata telefonide lukustuskood, tuginedes sonarite töötamise põhimõttele — nutitelefoni ülemine ja alumine kõlar genereerivad kuulmatuid resumptions, ja sisseehitatud mikrofonid püüavad neid kinni käe peegeldunud lainete analüüsimiseks;
    • Arendus Ghidra tagasivõtmise tööriistade ANB;
    • SAFE — tehnika identifitseerimist koodi kasutamise kohta, mis sisaldab samu funktsioone mitmes täitmisfailis binaarsete kogumite analüüsi põhjal;
    • Loomine meetodi leidmine Intel Boot Guard mehhanismi vältimiseks muudetud UEFI-firmware'de laadimiseks ilma digitaalsete allkirjade kontrollimiseta.
  • Kõige lameram reageering müüjalt (Lame Vendor Response). Auhind kõige ebaadekvaatse reageeringu eest oma toote haavatavuse teatega. Võitjateks osutusid BitFi krüptorahakoti arendajad, kes hüüdsid oma toote erakordsest turvalisusest, mis osutus tegelikult valeinformatsiooniks, ja korraldasid jahtimist uurijatele, kes tuvastasid haavatavusi, ning ei maksnud lubatud preemiaid probleemide tuvastamise eest;

    Preemia saamise kandidaatide seas kaaluti ka:

    • Turvaspetsialist süüdistas Atrienti direktorit rünnaku korraldamises, et sundida eemaldama tema tuvastatud haavatavuse raport, kuid direktor eitab intsidenti ja jälgimiskaamerad ei ole seda rünnakut registreerinud;
    • Ettevõte Zoom venitas kriitilise vea parandamist haavatavusest oma konverentsi süsteemis ja lahendas probleemi alles pärast avalikku tähelepanu. Turvanõrkuse tõttu sai väline ründaja ligipääsu macOS kasutajate veebikaamerate andmetele, kui avati spetsiaalselt kujundatud leht (Zoom käivitas kliendi poolel HTTP-serveri, mis vastu võttis käske kohalikule rakendusele).
    • üle 10 aasta edutuks jäänud probleem OpenPGP krüptograafiliste võtmete serveritega, põhjendades seda sellega, et kood on kirjutatud spetsiifilises OCaml keeles ja jääb hoolduseta.

    Kõige ebatavam väide turvanõrkuse kohta. Antakse kõige üleolevama ja ulatuslikuma probleemide kajastuse eest internetis ja meedias, eriti kui turvanõrkus osutub lõpuks mittekasutatavaks. Auhind anti välja väljaandele Bloomberg teade Super Micro plaatide spionaažikiipide avastamisest, mis ei leidnud kinnitust, nüüd allika andmed viitavad hoopis teistsugusele teabele.

    Kategoorias on mainitud:

    • Turvanõrkust libssh, mis puudutas üksikuid serverirakendusi (libssh ei kasutata serverites peaaegu kunagi), kuid NCC Group esitles seda kui turvanõrkust, mis võimaldab rünnata iga serverit OpenSSH.
    • DICOM-formaadiga pilte kasutavad rünnakud. Idee on selles, et saate luua Windowsi täitevfaili, mis näeb välja nagu kehtiv DICOM-formaadis pilt. Seda faili saab üles laadida meditsiiniseadmestikku ja käivitada.
    • Haavatavus Thrangrycat, mis võimaldab ületada Cisco seadmete turvalise laadimise mehhanismi. Haavatavus on klassifitseeritud äärmuslikuks probleemiks, kuna nõuab rünnaku jaoks root-õigusi, kuid kui ründaja on juba root-juurdepääsu saanud, siis millest turvalisusest saame rääkida. Haavatavus on samal ajal võitnud kõige alahinnatud probleemide kategoorias, kuna see võimaldab Flashi sisse viia alalise tagaukse;
  • Suurim ebaõnnestumine (Most Epic FAIL). Auhind läks väljaandele Bloomberg mitme sensatsioonilise artikli eest, millel olid uhked pealkirjad, kuid väljamõeldud faktid, allikate varjamine, teooriatehnikate kasutamine nagu "küberrelvad" ja lubamatud üldistused. Teised nomineeritud on:
    • Shadowhammeri rünnak Asus'i püsivara värskendusteenusele;
    • BitFi ladustamise häkkimine, mida reklaamiti kui "murdmatut";
    • Isikuandmete lekked ja tokenid Facebooki juurdepääse.

Allikas: opennet.ru

Osta usaldusväärne veebihosting DDoS kaitsega, VPS VDS serverid 🔥 Osta usaldusväärne veebihosting DDoS kaitsega, VPS VDS serverid | ProHoster