Premios Pwnie 2019: as vulnerabilidades e fallos de seguridade máis significativos

Na conferencia Black Hat USA en Las Vegas tivo lugar entrega de premios Premios Pwnie 2019, que destaca as vulnerabilidades máis significativas e fallos absurdos no ámbito da seguridade informática. Os premios Pwnie considéranse o equivalente aos Oscar e aos Golden Raspberries no ámbito da seguridade informática e celébranse anualmente desde 2007.

O principal gañadores и candidaturas:

• Mellor erro do servidor. Concedido por identificar e explotar o erro tecnicamente máis complexo e interesante nun servizo de rede. Os gañadores foron os investigadores revelado vulnerabilidade no provedor de VPN Pulse Secure, cuxo servizo VPN é usado por Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, a Armada dos Estados Unidos, o Departamento de Seguridade Nacional dos Estados Unidos (DHS) e probablemente a metade da empresas da lista Fortune 500. Os investigadores atoparon unha porta traseira que permite que un atacante non autenticado cambie o contrasinal de calquera usuario. Demostrouse a posibilidade de explotar o problema para obter acceso root a un servidor VPN no que só está aberto o porto HTTPS;

  Entre os candidatos que non recibiron o premio destacan os seguintes:

  • Operado na fase de pre-autenticación vulnerabilidade no sistema de integración continua de Jenkins, que permite executar código no servidor. A vulnerabilidade é utilizada activamente polos bots para organizar a minería de criptomonedas nos servidores;
  • Crítico vulnerabilidade no servidor de correo Exim, que permite executar código no servidor con dereitos de root;
  • Vulnerabilidades en cámaras IP Xiongmai XMeye P2P, o que lle permite tomar o control do dispositivo. As cámaras foron subministradas cun contrasinal de enxeñería e non utilizaron a verificación de sinatura dixital ao actualizar o firmware;
  • Crítico vulnerabilidade na implementación do protocolo RDP en Windows, que che permite executar o teu código de forma remota;
  • Vulnerabilidade en WordPress, asociado coa carga de código PHP baixo o pretexto dunha imaxe. O problema permítelle executar código arbitrario no servidor, tendo os privilexios do autor das publicacións (Autor) no sitio;
• Mellor erro do software do cliente. O gañador foi o fácil de usar vulnerabilidade no sistema de chamadas grupais FaceTime de Apple, permitindo ao iniciador dunha chamada de grupo forzar a aceptación da chamada pola parte chamada (por exemplo, para escoitar e espiar).

  Tamén foron nominados ao premio:

  • Vulnerabilidade en WhatsApp, que che permite executar o teu código enviando unha chamada de voz especialmente deseñada;
  • Vulnerabilidade na biblioteca gráfica de Skia utilizada no navegador Chrome, o que pode provocar a corrupción da memoria debido a erros de coma flotante nalgunhas transformacións xeométricas;
• Mellor elevación da vulnerabilidade de privilexios. A vitoria foi concedida por identificar vulnerabilidades no núcleo de iOS, que se pode explotar mediante ipc_voucher, accesible a través do navegador Safari.

  Tamén foron nominados ao premio:

  • Vulnerabilidade en Windows, o que lle permite obter o control total do sistema mediante manipulacións coa función CreateWindowEx (win32k.sys). O problema identificouse durante a análise do malware que explotou a vulnerabilidade antes de que fose solucionada;
  • Vulnerabilidade en runc e LXC, afectando a Docker e outros sistemas de illamento de contedores, permitindo que un contedor illado controlado por un atacante cambie o ficheiro executable runc e obteña privilexios de root no lado do sistema host;
  • Vulnerabilidade en iOS (CFPrefsDaemon), que lle permite ignorar os modos de illamento e executar código con dereitos de root;
  • Vulnerabilidade na edición da pila TCP de Linux usada en Android, permitindo que un usuario local eleve os seus privilexios no dispositivo;
  • Vulnerabilidades en systemd-journald, que che permite obter dereitos de root;
  • Vulnerabilidade na utilidade tmpreaper para limpar /tmp, que che permite gardar o teu ficheiro en calquera parte do sistema de ficheiros;
• Mellor ataque criptográfico. Concedido por identificar as lagoas máis significativas en sistemas reais, protocolos e algoritmos de cifrado. O premio foi outorgado pola identificación vulnerabilidades en tecnoloxía de seguridade de rede sen fíos WPA3 e EAP-pwd, que permite recrear o contrasinal de conexión e acceder á rede sen fíos sen coñecer o contrasinal.

  Outros candidatos ao premio foron:

  • Método ataques ao cifrado PGP e S/MIME en clientes de correo electrónico;
  • Aplicación método de arranque en frío para acceder ao contido das particións cifradas de Bitlocker;
  • Vulnerabilidade en OpenSSL, que permite separar as situacións de recepción de recheos incorrectos e MAC incorrectos. O problema é causado polo manexo incorrecto de cero bytes no oráculo de recheo;
  • Problemas con tarxetas de identificación utilizadas en Alemaña mediante SAML;
  • problema coa entropía dos números aleatorios na implementación do soporte para tokens U2F en ChromeOS;
  • Vulnerabilidade en Monocypher, debido ao cal as sinaturas nulas de EdDSA foron recoñecidas como correctas.
• A investigación máis innovadora de sempre. O premio foi concedido ao desenvolvedor da tecnoloxía Emulación vectorizada, que usa instrucións vectoriais AVX-512 para emular a execución do programa, o que permite un aumento significativo da velocidade de proba de fuzzing (ata 40-120 mil millóns de instrucións por segundo). A técnica permite que cada núcleo de CPU execute 8 máquinas virtuais de 64 bits ou 16 de 32 bits en paralelo con instrucións para probas confusas da aplicación.

  Poderon optar ao premio os seguintes:

  • Vulnerabilidade na tecnoloxía Power Query de MS Excel, que permite organizar a execución de código e evitar os métodos de illamento das aplicacións ao abrir follas de cálculo especialmente deseñadas;
  • Método enganar ao piloto automático dos coches Tesla para provocar a condución no carril contrario;
  • Traballar enxeñaría inversa do chip ASICS Siemens S7-1200;
  • SonarSnoop - Técnica de seguimento do movemento dos dedos para determinar o código de desbloqueo do teléfono, baseada no principio de funcionamento do sonar - os altofalantes superior e inferior do teléfono intelixente xeran vibracións inaudibles e os micrófonos incorporados captanas para analizar a presenza de vibracións reflectidas polo man;
  • Desenvolvemento o conxunto de ferramentas de enxeñería inversa Ghidra da NSA;
  • SAFE — unha técnica para determinar o uso de código para funcións idénticas en varios ficheiros executables baseada na análise de conxuntos binarios;
  • creación un método para evitar o mecanismo Intel Boot Guard para cargar firmware UEFI modificado sen verificación de sinatura dixital.
• A reacción máis coxa dun vendedor (Lamest Vendor Response). Nomeamento para a resposta máis inadecuada a unha mensaxe sobre unha vulnerabilidade no seu propio produto. Os gañadores son os desenvolvedores da carteira criptográfica BitFi, que berran sobre a ultraseguridade do seu produto, que en realidade resultou ser imaxinario, acosan aos investigadores que identifican vulnerabilidades e non pagan as bonificacións prometidas por identificar problemas;

  Entre os solicitantes do premio tamén se consideraron:

  • Un investigador de seguridade acusou ao director de Atrient de agredilo para obrigalo a retirar un informe sobre unha vulnerabilidade que identificou, pero o director nega o suceso e as cámaras de vixilancia non gravaron o ataque;
  • O zoom atrasouse para solucionar un problema crítico vulnerabilidades no seu sistema de conferencias e corrixiu o problema só despois da súa divulgación pública. A vulnerabilidade permitiu a un atacante externo obter datos das cámaras web dos usuarios de macOS ao abrir unha páxina especialmente deseñada no navegador (Zoom lanzou un servidor http no lado do cliente que recibía comandos da aplicación local).
  • Non corrixir durante máis de 10 anos problema con servidores de claves criptográficas OpenPGP, citando o feito de que o código está escrito nunha linguaxe OCaml específica e permanece sen mantedor.

  O anuncio de vulnerabilidade máis publicitado ata agora. Concedida pola cobertura máis patética e a gran escala do problema en Internet e nos medios, especialmente se a vulnerabilidade resulta finalmente inexplotable na práctica. O premio foi concedido a Bloomberg por declaración sobre a identificación de chips espía en placas Super Micro, que non foi confirmada, e a fonte indicou absolutamente outra información.

  Mencionado na candidatura:

  • Vulnerabilidade en libssh, que tocado aplicacións de servidor único (libssh case nunca se usa para servidores), pero foi presentada polo Grupo NCC como unha vulnerabilidade que permite atacar calquera servidor OpenSSH.
  • Ataque usando imaxes DICOM. A cuestión é que podes preparar un ficheiro executable para Windows que pareza unha imaxe DICOM válida. Este ficheiro pódese descargar no dispositivo médico e executalo.
  • Vulnerabilidade Gato thrangry, que lle permite ignorar o mecanismo de inicio seguro nos dispositivos Cisco. A vulnerabilidade clasifícase como un problema exagerado porque require dereitos de root para atacar, pero se o atacante xa puido obter acceso root, entón de que seguridade podemos falar. A vulnerabilidade tamén gañou na categoría dos problemas máis subestimados, xa que permite introducir unha porta traseira permanente en Flash;
• O maior fracaso (FALLO máis épico). A vitoria foi concedida a Bloomberg por unha serie de artigos sensacionais con titulares altos pero feitos inventados, supresión de fontes, descendencia a teorías conspirativas, uso de termos como "ciberarmas" e xeneralizacións inaceptables. Outros nomeados inclúen:
  • Ataque Shadowhammer ao servizo de actualización de firmware de Asus;
  • Hackear unha bóveda de BitFi anunciada como "inhackeable";
  • Fugas de datos persoais e fichas acceso a Facebook.

Fonte: opennet.ru