ProHoster > Blog > internetske vijesti > Pwnie Awards 2019: Najznačajnije sigurnosne ranjivosti i propusti

Pwnie Awards 2019: Najznačajnije sigurnosne ranjivosti i propusti

Na konferenciji Black Hat USA u Las Vegasu dogodio Dodjela nagrada Nagrade Pwnie 2019, koji ističe najznačajnije ranjivosti i apsurdne propuste u području računalne sigurnosti. Nagrade Pwnie smatraju se ekvivalentom Oscara i Zlatnih malina u području računalne sigurnosti i održavaju se svake godine od 2007. godine.

Glavni pobjednici и nominacije:

  • Najbolja greška na serveru. Dodjeljuje se za prepoznavanje i iskorištavanje tehnički najsloženijeg i najzanimljivijeg buga u mrežnoj usluzi. Pobjednici su bili istraživači otkriveno ranjivost u pružatelju VPN usluga Pulse Secure, čiju VPN uslugu koriste Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, američka mornarica, američko Ministarstvo domovinske sigurnosti (DHS) i vjerojatno polovica tvrtke s liste Fortune 500. Istraživači su pronašli backdoor koji omogućuje neautentificiranom napadaču da promijeni lozinku bilo kojeg korisnika. Pokazana je mogućnost iskorištavanja problema za dobivanje root pristupa VPN poslužitelju na kojem je otvoren samo HTTPS port;

    Među kandidatima koji nisu dobili nagradu mogu se istaknuti:

    • Djeluje u fazi pred-autentikacije ranjivost u sustavu kontinuirane integracije Jenkins, koji vam omogućuje izvršavanje koda na poslužitelju. Ovu ranjivost aktivno koriste botovi za organiziranje rudarenja kriptovalute na poslužiteljima;
    • Kritično ranjivost u Exim poslužitelju pošte, koji vam omogućuje izvršavanje koda na poslužitelju s root pravima;
    • Ranjivosti u Xiongmai XMeye P2P IP kamerama, omogućujući vam preuzimanje kontrole nad uređajem. Kamere su bile isporučene s inženjerskom lozinkom i nisu koristile provjeru digitalnog potpisa prilikom ažuriranja firmvera;
    • Kritično ranjivost u implementaciji RDP protokola u sustavu Windows, koji vam omogućuje daljinsko izvršavanje koda;
    • Ranjivost u WordPressu, povezan s učitavanjem PHP koda pod krinkom slike. Problem vam omogućuje izvršavanje proizvoljnog koda na poslužitelju, s privilegijama autora publikacija (Autor) na web mjestu;
  • Najbolji klijentski softver Bug. Pobjednik je bio jednostavan za korištenje ranjivost u sustavu grupnih poziva Apple FaceTime, omogućujući inicijatoru grupnog poziva da prisilno prihvati poziv od strane pozivane strane (na primjer, za slušanje i njuškanje).

    Za nagradu su nominirani i:

    • Ranjivost u WhatsAppu, koji vam omogućuje da izvršite svoj kod slanjem posebno dizajniranog glasovnog poziva;
    • Ranjivost u grafičkoj biblioteci Skia koja se koristi u pregledniku Chrome, što može dovesti do oštećenja memorije zbog pogrešaka s pomičnim zarezom u nekim geometrijskim transformacijama;
  • Najbolje povećanje ranjivosti privilegija. Pobjeda je dodijeljena za identifikaciju ranjivosti u iOS kernelu, koji se može iskoristiti putem ipc_vouchera, dostupnog putem preglednika Safari.

    Za nagradu su nominirani i:

    • Ranjivost u sustavu Windows, što vam omogućuje potpunu kontrolu nad sustavom kroz manipulacije s funkcijom CreateWindowEx (win32k.sys). Problem je identificiran tijekom analize zlonamjernog softvera koji je iskorištavao ranjivost prije nego što je popravljen;
    • Ranjivost u runc i LXC, što utječe na Docker i druge sustave izolacije spremnika, dopuštajući izoliranom spremniku kojim upravlja napadač da promijeni runc izvršnu datoteku i dobije root povlastice na strani glavnog sustava;
    • Ranjivost u iOS-u (CFPrefsDaemon), koji vam omogućuje zaobilaženje načina izolacije i izvršavanje koda s root pravima;
    • Ranjivost u izdanju Linux TCP skupa koji se koristi u Androidu, omogućujući lokalnom korisniku da podigne svoje privilegije na uređaju;
    • Ranjivosti u systemd-journaldu, koji vam omogućuje dobivanje root prava;
    • Ranjivost u uslužnom programu tmpreaper za čišćenje /tmp, koji vam omogućuje spremanje datoteke u bilo kojem dijelu datotečnog sustava;
  • Najbolji kriptografski napad. Dodjeljuje se za prepoznavanje najznačajnijih nedostataka u stvarnim sustavima, protokolima i algoritmima šifriranja. Nagrada je dodijeljena za identifikaciju ranjivosti u WPA3 sigurnosnoj tehnologiji bežične mreže i EAP-pwd, koji vam omogućuje ponovno stvaranje lozinke za povezivanje i dobivanje pristupa bežičnoj mreži bez znanja lozinke.

    Ostali kandidati za nagradu bili su:

    • način napadi na PGP i S/MIME enkripciju u klijentima e-pošte;
    • Primjena metoda hladnog pokretanja za pristup sadržaju šifriranih Bitlocker particija;
    • Ranjivost u OpenSSL-u, što vam omogućuje da odvojite situacije primanja netočnog paddinga i netočnog MAC-a. Problem je uzrokovan netočnim rukovanjem nultim bajtovima u padding oracleu;
    • Problemi s osobnim iskaznicama koje se koriste u Njemačkoj koristeći SAML;
    • problem s entropijom slučajnih brojeva u implementaciji podrške za U2F tokene u ChromeOS-u;
    • Ranjivost u Monocypheru, zbog čega su null EdDSA potpisi prepoznati kao točni.
  • Najinovativnije istraživanje ikada. Nagrada je dodijeljena developeru tehnologije Vektorizirana emulacija, koji koristi vektorske instrukcije AVX-512 za emulaciju izvršavanja programa, što omogućuje značajno povećanje brzine testiranja fuzzinga (do 40-120 milijardi instrukcija u sekundi). Tehnika omogućuje svakoj CPU jezgri pokretanje 8 64-bitnih ili 16 32-bitnih virtualnih strojeva paralelno s uputama za fuzzing testiranje aplikacije.

    Pravo na nagradu ostvarili su:

    • Ranjivost u tehnologiji Power Query iz MS Excela, koja vam omogućuje organiziranje izvršavanja koda i zaobilaženje metoda izolacije aplikacije prilikom otvaranja posebno dizajniranih proračunskih tablica;
    • način zavaravanje autopilota Teslinih automobila kako bi se isprovocirao izlazak u nadolazeću traku;
    • Raditi obrnuti inženjering ASICS čipa Siemens S7-1200;
    • SonarSnoop - tehnika praćenja pokreta prsta za određivanje koda za otključavanje telefona, temeljena na principu rada sonara - gornji i donji zvučnici pametnog telefona stvaraju nečujne vibracije, a ugrađeni mikrofoni ih hvataju kako bi analizirali prisutnost vibracija reflektiranih od ruka;
    • dizajn NSA-in Ghidra alat za reverzni inženjering;
    • SIGURAN — tehnika za određivanje upotrebe koda za identične funkcije u nekoliko izvršnih datoteka na temelju analize binarnih sklopova;
    • stvaranje metoda za zaobilaženje mehanizma Intel Boot Guard za učitavanje modificiranog UEFI firmware-a bez provjere digitalnog potpisa.
  • Najjadnija reakcija dobavljača (Najjadniji odgovor dobavljača). Nominacija za najneadekvatniji odgovor na poruku o ranjivosti vlastitog proizvoda. Pobjednici su programeri BitFi kripto novčanika, koji viču o ultra-sigurnosti svog proizvoda, koji se u stvarnosti pokazao izmišljenim, maltretiraju istraživače koji identificiraju ranjivosti i ne plaćaju obećane bonuse za identificiranje problema;

    Među kandidatima za nagradu također se smatraju:

    • Sigurnosni istraživač optužio je direktora Atrienta da ga je napao kako bi ga prisilio da ukloni izvješće o ranjivosti koju je identificirao, ali direktor negira incident, a nadzorne kamere nisu snimile napad;
    • Zoom je odgodio rješavanje kritičnog problema ranjivosti u svom konferencijskom sustavu i ispravili problem tek nakon javnog objavljivanja. Ranjivost je omogućila vanjskom napadaču da dobije podatke s web kamera korisnika macOS-a prilikom otvaranja posebno dizajnirane stranice u pregledniku (Zoom je pokrenuo http poslužitelj na strani klijenta koji je primao naredbe iz lokalne aplikacije).
    • Neispravljanje više od 10 godina problem s OpenPGP poslužiteljima kriptografskih ključeva, navodeći činjenicu da je kod napisan na specifičnom OCaml jeziku i ostaje bez održavatelja.

    Najrazvikanija najava ranjivosti dosad. Dodjeljuje se za najjadnije i najšire izvještavanje o problemu na internetu i medijima, osobito ako se ranjivost u konačnici pokaže neiskoristivom u praksi. Nagradu je dodijelio Bloomberg za primjena o identifikaciji špijunskih čipova u Super Micro pločama, što nije potvrđeno, a izvor je naveo apsolutno druge podatke.

    U nominaciji spomenuti:

    • Ranjivost u libsshu, koja dotaknuto aplikacije jednog poslužitelja (libssh se gotovo nikad ne koristi za poslužitelje), ali ga je grupa NCC predstavila kao ranjivost koja omogućuje napad na bilo koji OpenSSH poslužitelj.
    • Napad pomoću DICOM slika. Poanta je da možete pripremiti izvršnu datoteku za Windows koja će izgledati kao važeća DICOM slika. Ova datoteka se može preuzeti na medicinski uređaj i izvršiti.
    • Ranjivost Thrangrycat, koji vam omogućuje da zaobiđete mehanizam sigurnog pokretanja na Cisco uređajima. Ranjivost je klasificirana kao prenapuhan problem jer zahtijeva root prava za napad, ali ako je napadač već bio u mogućnosti dobiti root pristup, o kakvoj sigurnosti onda možemo govoriti. Ranjivost je također pobijedila u kategoriji najpodcijenjenijih problema, budući da vam omogućuje uvođenje trajnih stražnjih vrata u Flash;
  • Najveći neuspjeh (Most Epic FAIL). Pobjeda je dodijeljena Bloombergu za niz senzacionalnih članaka s glasnim naslovima, ali izmišljenim činjenicama, prešućivanjem izvora, spuštanjem u teorije zavjere, korištenjem pojmova poput “kibernetičko oružje” i neprihvatljivim generalizacijama. Ostali nominirani uključuju:
    • Shadowhammer napad na Asusovu uslugu ažuriranja firmvera;
    • Hakiranje BitFi trezora koji se reklamira kao "nehakirati";
    • Curenje osobnih podataka i žetone pristup Facebooku.

Izvor: opennet.ru

Dodajte komentar