ProHoster > Blog > ynternet nijs > Pwnie Awards 2019: Meast Signifikante Feiligens kwetsberens en mislearrings

Pwnie Awards 2019: Meast Signifikante Feiligens kwetsberens en mislearrings

Op de Black Hat USA konferinsje yn Las Vegas barde priisútrikking Pwnie Awards 2019, dy't de meast wichtige kwetsberens en absurde mislearrings op it mêd fan kompjûterfeiligens markeart. De Pwnie Awards wurde beskôge as it ekwivalint fan 'e Oscars en Gouden Raspberries op it mêd fan kompjûterfeiligens en wurde sûnt 2007 jierliks ​​hâlden.

haad winners и nominaasjes:

  • Bêste serverbug. Útrikt foar it identifisearjen en eksploitearjen fan de meast technysk komplekse en nijsgjirrige bug yn in netwurktsjinst. De winners wiene de ûndersikers iepenbiere kwetsberens yn 'e VPN-provider Pulse Secure, waans VPN-tsjinst wurdt brûkt troch Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, de US Navy, it US Department of Homeland Security (DHS) en wierskynlik de helte fan 'e bedriuwen fan 'e list fan Fortune 500. Undersikers hawwe in efterdoar fûn wêrmei in net-authentisearre oanfaller it wachtwurd fan elke brûker kin feroarje. De mooglikheid om it probleem te brûken om root-tagong te krijen ta in VPN-tsjinner wêrop allinich de HTTPS-poarte iepen is, is oantoand;

    Under de kandidaten dy't de priis net krigen, kin it folgjende wurde opmurken:

    • Operearre yn 'e pre-autentikaasjefaze kwetsberens yn it Jenkins trochgeande yntegraasjesysteem, wêrtroch jo koade op 'e tsjinner kinne útfiere. De kwetsberens wurdt aktyf brûkt troch bots om cryptocurrency mining te organisearjen op servers;
    • Kritysk kwetsberens yn 'e Exim-posttsjinner, wêrmei jo koade kinne útfiere op' e tsjinner mei rootrjochten;
    • Kwetsberheden yn Xiongmai XMeye P2P IP-kamera's, wêrtroch jo kontrôle oer it apparaat kinne nimme. De kamera's waarden levere mei in yngenieurwachtwurd en brûkten gjin digitale hantekeningferifikaasje by it bywurkjen fan de firmware;
    • Kritysk kwetsberens yn 'e ymplemintaasje fan it RDP-protokol yn Windows, wêrtroch jo jo koade op ôfstân kinne útfiere;
    • Kwetsberens yn WordPress, ferbûn mei it laden fan PHP-koade ûnder it mom fan in ôfbylding. It probleem lit jo willekeurige koade op 'e tsjinner útfiere, mei de privileezjes fan' e skriuwer fan publikaasjes (Author) op 'e side;
  • Bêste Client Software Bug. De winner wie de maklik te brûken kwetsberens yn it Apple FaceTime-groepopropsysteem, wêrtroch de inisjatyfnimmer fan in groepoprop de oprop twingt om te akseptearjen troch de oproppen partij (bygelyks foar harkjen en snoopjen).

    Ek nominearre foar de priis wiene:

    • Kwetsberens yn WhatsApp, wêrtroch jo jo koade kinne útfiere troch in spesjaal ûntwurpen stimoprop te stjoeren;
    • Kwetsberens yn 'e Skia-grafykbibleteek brûkt yn' e Chrome-blêder, wat kin liede ta ûnthâldkorrupsje troch driuwende puntflaters yn guon geometryske transformaasjes;
  • Bêste ferheging fan privilege kwetsberens. Oerwinning waard útrikt foar it identifisearjen kwetsberens yn 'e iOS-kernel, dy't kin wurde eksploitearre fia ipc_voucher, tagonklik fia de Safari-blêder.

    Ek nominearre foar de priis wiene:

    • Kwetsberens yn Windows, wêrtroch jo folsleine kontrôle oer it systeem krije kinne troch manipulaasjes mei de funksje CreateWindowEx (win32k.sys). It probleem waard identifisearre tidens de analyze fan malware dy't de kwetsberens eksploitearre foardat it fêststeld waard;
    • Kwetsberens yn runc en LXC, dy't Docker en oare kontenerisolaasjesystemen beynfloedzje, wêrtroch in isolearre kontener kontrolearre troch in oanfaller it runc-útfierbere bestân kin feroarje en root-privileezjes krije oan 'e kant fan it hostsysteem;
    • Kwetsberens yn iOS (CFPrefsDaemon), wêrtroch jo isolaasjemodi kinne omgean en koade útfiere mei rootrjochten;
    • Kwetsberens yn 'e edysje fan' e Linux TCP-stapel brûkt yn Android, wêrtroch in lokale brûker har privileezjes op it apparaat kin ferheegje;
    • Kwetsberheden yn systemd-journald, wêrtroch jo rootrjochten kinne krije;
    • Kwetsberens yn it tmpreaper-hulpprogramma foar skjinmeitsjen /tmp, wêrtroch jo jo bestân yn elk diel fan it bestânsysteem kinne bewarje;
  • Bêste Kryptografyske oanfal. Útrikt foar it identifisearjen fan de wichtichste gatten yn echte systemen, protokollen en fersiferingsalgoritmen. De priis waard útrikt foar it identifisearjen kwetsberens yn WPA3 draadloze netwurkfeiligenstechnology en EAP-pwd, wêrtroch jo it ferbiningswachtwurd opnij kinne oanmeitsje en tagong krije ta it draadloze netwurk sûnder it wachtwurd te witten.

    Oare kandidaten foar de priis wiene:

    • Metoade oanfallen op PGP- en S/MIME-fersifering yn e-postkliïnten;
    • Applikaasje kâlde bootmetoade om tagong te krijen ta de ynhâld fan fersifere Bitlocker-partysjes;
    • Kwetsberens yn OpenSSL, wêrmei jo de situaasjes fan ûntfangst fan ferkearde padding en ferkearde MAC te skieden. It probleem wurdt feroarsake troch ferkearde ôfhanneling fan nul bytes yn padding orakel;
    • Problemen mei ID-kaarten brûkt yn Dútslân mei SAML;
    • probleem mei de entropy fan willekeurige nûmers yn 'e ymplemintaasje fan stipe foar U2F-tokens yn ChromeOS;
    • Kwetsberens yn Monocypher, fanwege hokker nul EdDSA hantekenings waarden erkend as korrekt.
  • It meast ynnovative ûndersyk ea. De priis waard takend oan de ûntwikkelder fan de technology Vectorized emulaasje, dy't AVX-512-fektorynstruksjes brûkt om programma-útfiering te emulearjen, wêrtroch in signifikante ferheging fan fuzzing-testsnelheid mooglik is (oant 40-120 miljard ynstruksjes per sekonde). De technyk lit elke CPU-kearn 8 64-bit of 16 32-bit firtuele masines útfiere parallel mei ynstruksjes foar fuzzing testen fan 'e applikaasje.

    De folgjende kamen yn oanmerking foar de priis:

    • Kwetsberens yn Power Query technology út MS Excel, wêrmei jo te organisearjen koade útfiering en bypass applikaasje isolaasje metoaden by it iepenjen fan spesjaal ûntwurpen spreadsheets;
    • Metoade it ferrifeljen fan de autopilot fan Tesla-auto's om it riden yn 'e oankommende baan út te lokjen;
    • wurk reverse engineering fan ASICS chip Siemens S7-1200;
    • SonarSnoop - technyk foar it folgjen fan fingerbewegingen om de koade foar ûntskoatteljen fan 'e tillefoan te bepalen, basearre op it prinsipe fan sonar-operaasje - de boppeste en ûnderste sprekkers fan' e smartphone generearje net te hearren vibraasjes, en de ynboude mikrofoans helje se op om de oanwêzigens fan trillingen te analysearjen dy't reflekteare wurde troch de hân;
    • Untwikkeling de Ghidra reverse engineering toolkit fan de NSA;
    • FEILICH - in technyk foar it bepalen fan it gebrûk fan koade foar identike funksjes yn ferskate útfierbere bestannen basearre op 'e analyze fan binêre assemblies;
    • skepping in metoade om it Intel Boot Guard-meganisme te omgean om wizige UEFI-firmware te laden sûnder ferifikaasje fan digitale hantekening.
  • De meast lamme reaksje fan in ferkeaper (Reaksje fan lêste ferkeaper). Nominaasje foar de meast ûnfoldwaande reaksje op in berjocht oer in kwetsberens yn jo eigen produkt. De winners binne de ûntwikkelders fan 'e BitFi-krypto-wallet, dy't roppe oer de ultra-feiligens fan har produkt, dy't yn' e realiteit imaginêr die bliken, ûndersikers dy't kwetsberens identifisearje, en net betelje de beloofde bonussen foar it identifisearjen fan problemen;

    Under de oanfregers foar de priis wurde ek beskôge:

    • In feiligensûndersiker beskuldige de direkteur fan Atrient fan oanfallen him om him te twingen om in rapport te ferwiderjen oer in kwetsberens dy't hy identifisearre, mar de direkteur ûntkent it ynsidint en tafersjochkamera's hawwe de oanfal net opnommen;
    • Zoom fertrage it reparearjen fan kritysk probleem kwetsberens yn har konferinsjesysteem en korrizjearre it probleem pas nei iepenbiere iepenbiering. De kwetsberens koe in eksterne oanfaller gegevens krije fan 'e webkamera's fan macOS-brûkers by it iepenjen fan in spesjaal ûntworpen side yn' e browser (Zoom lansearre in http-tsjinner op 'e kliïntside dy't kommando's fan' e lokale applikaasje ûntfong).
    • Net korrigearje foar mear dan 10 jier it probleem mei OpenPGP kryptografyske kaai tsjinners, ferwizend nei it feit dat de koade is skreaun yn in spesifike OCaml taal en bliuwt sûnder in ûnderhâlder.

    De meast hyped kwetsberens oankundiging noch. Bekroand foar de meast patetyske en grutskalige dekking fan it probleem op ynternet en de media, foaral as de kwetsberens yn de praktyk úteinlik ûneksploitabel blykt te wêzen. De priis waard takend oan Bloomberg foar ferklearring oer de identifikaasje fan spy chips yn Super Micro boards, dat waard net befêstige, en de boarne oanjûn perfoarst oare ynformaasje.

    Yn de nominaasje neamd:

    • Kwetsberens yn libssh, dy't oanrekke inkele tsjinner applikaasjes (libssh wurdt hast nea brûkt foar tsjinners), mar waard presintearre troch de NCC Group as in kwetsberens wêrmei oanfallen eltse OpenSSH tsjinner.
    • Oanfal mei DICOM-ôfbyldings. It punt is dat jo in útfierber bestân foar Windows kinne tariede dat sil lykje op in jildich DICOM-ôfbylding. Dit bestân kin wurde downloade nei it medyske apparaat en útfierd.
    • Kwetsberens Thrangrycat, wêrmei jo de feilige bootmeganisme op Cisco-apparaten te omgean. De kwetsberens wurdt klassifisearre as in oerlêst probleem, om't it rootrjochten fereasket om oan te fallen, mar as de oanfaller al root-tagong koe krije, oer hokker feiligens kinne wy ​​​​prate. De kwetsberens wûn ek yn 'e kategory fan' e meast ûnderskatte problemen, om't jo in permaninte efterdoar yn Flash kinne ynfiere;
  • Grutste mislearring (Meast Epic FAIL). De oerwinning waard takend oan Bloomberg foar in searje sensasjonele artikels mei lûde krantekoppen, mar opmakke feiten, ûnderdrukking fan boarnen, delgong yn gearspanningsteoryen, gebrûk fan termen lykas "cyberwapens", en ûnakseptabele generalisaasjes. Oare nominearren omfetsje:
    • Shadowhammer oanfal op Asus firmware update tsjinst;
    • Hacking fan in BitFi-ferwulf advertearre as "unhackable";
    • Lekken fan persoanlike gegevens en tokens tagong ta Facebook.

Boarne: opennet.ru

Add a comment