À la conférence Black Hat USA à Las Vegas remise des prix , qui met en évidence les vulnérabilités les plus importantes et les pannes absurdes dans le domaine de la sécurité informatique. Les Pwnie Awards sont considérés comme l'équivalent des Oscars et des Golden Framboises dans le domaine de la sécurité informatique et ont lieu chaque année depuis 2007.
principal и :
- Meilleur bug du serveur. Décerné pour avoir identifié et exploité le bug le plus techniquement complexe et le plus intéressant dans un service réseau. Les gagnants étaient les chercheurs vulnérabilité du fournisseur VPN Pulse Secure, dont le service VPN est utilisé par Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, l'US Navy, le Département américain de la sécurité intérieure (DHS) et probablement la moitié des entreprises de la liste Fortune 500. Les chercheurs ont trouvé une porte dérobée qui permet à un attaquant non authentifié de modifier le mot de passe de n'importe quel utilisateur. La possibilité d'exploiter le problème pour obtenir un accès root à un serveur VPN sur lequel seul le port HTTPS est ouvert a été démontrée ;
Parmi les candidats n'ayant pas reçu le prix, on peut citer :
- Exploité lors de la phase de pré-authentification dans le système d'intégration continue Jenkins, qui permet d'exécuter du code sur le serveur. La vulnérabilité est activement utilisée par les robots pour organiser le minage de crypto-monnaie sur les serveurs ;
- Critique dans le serveur de messagerie Exim, qui permet d'exécuter du code sur le serveur avec les droits root ;
- dans les caméras IP Xiongmai XMeye P2P, vous permettant de prendre le contrôle de l'appareil. Les caméras étaient fournies avec un mot de passe d'ingénierie et n'utilisaient pas de vérification de signature numérique lors de la mise à jour du micrologiciel ;
- Critique dans l'implémentation du protocole RDP sous Windows, qui permet d'exécuter votre code à distance ;
- dans WordPress, associé au chargement de code PHP sous couvert d'image. Le problème permet d'exécuter du code arbitraire sur le serveur, ayant les privilèges d'auteur des publications (Auteur) sur le site ;
- Meilleur bug du logiciel client. Le gagnant était le facile à utiliser dans le système d'appel de groupe Apple FaceTime, permettant à l'initiateur d'un appel de groupe de forcer l'acceptation de l'appel par l'appelé (par exemple, pour écouter et espionner).
Étaient également nominés pour le prix :
- dans WhatsApp, qui vous permet d'exécuter votre code en envoyant un appel vocal spécialement conçu ;
- dans la bibliothèque graphique Skia utilisée dans le navigateur Chrome, ce qui peut entraîner une corruption de la mémoire en raison d'erreurs en virgule flottante dans certaines transformations géométriques ;
- Vulnérabilité de meilleure élévation de privilèges. La victoire a été décernée pour avoir identifié dans le noyau iOS, exploitable via ipc_voucher, accessible via le navigateur Safari.
Étaient également nominés pour le prix :
- sous Windows, vous permettant d'obtenir un contrôle total sur le système grâce à des manipulations avec la fonction CreateWindowEx (win32k.sys). Le problème a été identifié lors de l'analyse des logiciels malveillants qui exploitaient la vulnérabilité avant qu'elle ne soit corrigée ;
- dans runc et LXC, affectant Docker et d'autres systèmes d'isolation de conteneurs, permettant à un conteneur isolé contrôlé par un attaquant de modifier le fichier exécutable runc et d'obtenir les privilèges root du côté du système hôte ;
- sous iOS (CFPrefsDaemon), qui permet de contourner les modes d'isolement et d'exécuter du code avec les droits root ;
- dans l'édition de la pile Linux TCP utilisée dans Android, permettant à un utilisateur local d'élever ses privilèges sur l'appareil ;
- dans systemd-journald, qui permet d'obtenir les droits root ;
- dans l'utilitaire tmpreaper pour nettoyer /tmp, qui vous permet de sauvegarder votre fichier dans n'importe quelle partie du système de fichiers ;
- Meilleure attaque cryptographique. Décerné pour avoir identifié les lacunes les plus importantes dans les systèmes, protocoles et algorithmes de chiffrement réels. Le prix a été décerné pour avoir identifié dans la technologie de sécurité du réseau sans fil WPA3 et EAP-pwd, qui vous permet de recréer le mot de passe de connexion et d'accéder au réseau sans fil sans connaître le mot de passe.
Les autres candidats au prix étaient :
- attaques contre le chiffrement PGP et S/MIME dans les clients de messagerie ;
- méthode de démarrage à froid pour accéder au contenu des partitions Bitlocker chiffrées ;
- dans OpenSSL, ce qui vous permet de séparer les situations de réception d'un remplissage incorrect et d'un MAC incorrect. Le problème est dû à une gestion incorrecte de zéro octet dans Oracle de remplissage ;
- avec des cartes d'identité utilisées en Allemagne via SAML ;
- avec l'entropie des nombres aléatoires dans la mise en œuvre de la prise en charge des jetons U2F dans ChromeOS ;
- dans Monocypher, grâce à quoi les signatures EdDSA nulles ont été reconnues comme correctes.
- La recherche la plus innovante jamais réalisée. Le prix a été décerné au développeur de la technologie , qui utilise les instructions vectorielles AVX-512 pour émuler l'exécution du programme, permettant une augmentation significative de la vitesse des tests de fuzzing (jusqu'à 40 à 120 milliards d'instructions par seconde). La technique permet à chaque cœur de processeur d'exécuter 8 machines virtuelles 64 bits ou 16 machines virtuelles 32 bits en parallèle avec des instructions pour tester l'application par fuzzing.
Les personnes suivantes étaient éligibles pour le prix :
- dans la technologie Power Query de MS Excel, qui permet d'organiser l'exécution du code et de contourner les méthodes d'isolation des applications lors de l'ouverture de feuilles de calcul spécialement conçues ;
- tromper le pilote automatique des voitures Tesla pour provoquer la conduite dans la voie venant en sens inverse ;
- ingénierie inverse de la puce ASICS Siemens S7-1200 ;
- - technique de suivi des mouvements des doigts pour déterminer le code de déverrouillage du téléphone, basée sur le principe de fonctionnement du sonar - les haut-parleurs supérieur et inférieur du smartphone génèrent des vibrations inaudibles, et les microphones intégrés les captent pour analyser la présence de vibrations réfléchies par le main;
- la boîte à outils d'ingénierie inverse Ghidra de la NSA ;
- — une technique permettant de déterminer l'utilisation de code pour des fonctions identiques dans plusieurs fichiers exécutables basée sur l'analyse d'assemblages binaires ;
- une méthode pour contourner le mécanisme Intel Boot Guard pour charger le micrologiciel UEFI modifié sans vérification de la signature numérique.
- La réaction la plus boiteuse d'un vendeur (Réponse la plus médiocre du fournisseur). Nomination pour la réponse la plus inadéquate à un message concernant une vulnérabilité de votre propre produit. Les gagnants sont les développeurs du portefeuille crypto BitFi, qui crient à l'ultra-sécurité de leur produit, qui s'est en réalité révélé imaginaire, harcèlent les chercheurs qui identifient les vulnérabilités, et ne paient pas les bonus promis pour l'identification des problèmes ;
Parmi les candidats au prix figurent également :
- Un chercheur en sécurité a accusé le directeur d'Atrient de l'avoir attaqué afin de l'obliger à retirer un rapport sur une vulnérabilité qu'il avait identifiée, mais le directeur nie l'incident et les caméras de surveillance n'ont pas enregistré l'attaque ;
- Zoom a retardé la résolution d'un problème critique dans son système de conférence et n’a corrigé le problème qu’après divulgation publique. La vulnérabilité a permis à un attaquant externe d'obtenir des données des caméras Web des utilisateurs de macOS lors de l'ouverture d'une page spécialement conçue dans le navigateur (Zoom a lancé un serveur http côté client qui recevait les commandes de l'application locale).
- Défaut de correction depuis plus de 10 ans avec les serveurs de clés cryptographiques OpenPGP, citant le fait que le code est écrit dans un langage OCaml spécifique et reste sans mainteneur.
L'annonce de vulnérabilité la plus médiatisée à ce jour. Récompensé pour la couverture la plus pathétique et à grande échelle du problème sur Internet et dans les médias, surtout si la vulnérabilité s'avère finalement inexploitable en pratique. Le prix a été décerné à Bloomberg pour sur l'identification de puces espion dans les cartes Super Micro, ce qui n'a pas été confirmé, et la source a indiqué absolument .
Mentionné dans la candidature :
- Vulnérabilité dans libssh, qui applications à serveur unique (libssh n'est presque jamais utilisé pour les serveurs), mais a été présenté par le groupe NCC comme une vulnérabilité permettant d'attaquer n'importe quel serveur OpenSSH.
- Attaquez à l'aide d'images DICOM. Le fait est que vous pouvez préparer un fichier exécutable pour Windows qui ressemblera à une image DICOM valide. Ce fichier peut être téléchargé sur le dispositif médical et exécuté.
- La vulnérabilité , qui vous permet de contourner le mécanisme de démarrage sécurisé sur les appareils Cisco. La vulnérabilité est classée comme un problème exagéré car elle nécessite des droits root pour attaquer, mais si l'attaquant a déjà pu obtenir un accès root, alors de quelle sécurité pouvons-nous parler. La vulnérabilité a également gagné dans la catégorie des problèmes les plus sous-estimés, car elle permet d'introduire une porte dérobée permanente dans Flash ;
- Le plus gros échec (ÉCHEC le plus épique). La victoire a été attribuée à Bloomberg pour une série d’articles sensationnels avec des gros titres mais des faits inventés, la suppression de sources, la descente dans les théories du complot, l’utilisation de termes tels que « cyber-armes » et des généralisations inacceptables. Parmi les autres nominés figurent :
- Attaque Shadowhammer sur le service de mise à jour du firmware Asus ;
- Piratage d'un coffre-fort BitFi annoncé comme « impraticable » ;
- Fuites de données personnelles et accès à Facebook.
Source: opennet.ru