Pwnie Awards 2019: A legjelentősebb biztonsági rések és hibák
A Black Hat USA konferencián Las Vegasban került sor díjátadó ünnepség Pwnie Awards 2019, amely rávilágít a legjelentősebb sebezhetőségekre és abszurd hibákra a számítógép-biztonság területén. A Pwnie-díjakat a számítógépes biztonság területén az Oscar-díjjal és az Arany Málnával egyenértékűnek tekintik, és 2007 óta évente adják át.
A legjobb szerver hiba. A hálózati szolgáltatás technikailag legbonyolultabb és legérdekesebb hibájának azonosításáért és kiaknázásáért díjazták. A nyertesek a kutatók lettek kiderült a Pulse Secure VPN-szolgáltató sérülékenysége, amelynek VPN-szolgáltatását a Twitter, az Uber, a Microsoft, az sla, a SpaceX, az Akamai, az Intel, az IBM, a VMware, az amerikai haditengerészet, az amerikai belbiztonsági minisztérium (DHS) és valószínűleg a felhasználók fele használja. cégek a Fortune 500-as listájáról.A kutatók egy hátsó ajtót találtak, amely lehetővé teszi a nem hitelesített támadók számára bármely felhasználó jelszavának megváltoztatását. Bemutatták annak lehetőségét, hogy a problémát kihasználva root hozzáférést szerezzenek egy olyan VPN-kiszolgálóhoz, amelyen csak a HTTPS-port van nyitva;
A díjban nem részesült jelöltek közül a következők említhetők meg:
Az előhitelesítési szakaszban üzemel sebezhetőség a Jenkins folyamatos integrációs rendszerben, amely lehetővé teszi a kód futtatását a szerveren. A sebezhetőséget a botok aktívan használják a kriptovaluta bányászatának szervereken való megszervezésére;
Kritikai sebezhetőség az Exim levelezőszerverben, amely lehetővé teszi a kód futtatását a szerveren root jogokkal;
Sebezhetőségek Xiongmai XMeye P2P IP kamerákban, lehetővé téve az eszköz irányításának átvételét. A kamerákat mérnöki jelszóval látták el, és nem használtak digitális aláírás-ellenőrzést a firmware frissítésekor;
Kritikai sebezhetőség az RDP protokoll Windows rendszerben történő megvalósításában, amely lehetővé teszi a kód távoli végrehajtását;
Sebezhetőség a WordPressben, amely a PHP-kód betöltéséhez kapcsolódik egy kép leple alatt. A probléma lehetővé teszi, hogy tetszőleges kódot hajtson végre a szerveren, az oldalon található publikációk szerzőjének (Szerző) jogosultságaival;
A legjobb ügyfélszoftver-hiba. A nyertes a könnyen használható lett sebezhetőség az Apple FaceTime csoportos hívórendszerben, lehetővé téve a csoportos hívás kezdeményezője számára, hogy a hívott fél általi elfogadásra kényszerítse a hívást (például meghallgatásra és leskelődésre).
A díjra még jelöltek:
Sebezhetőség a WhatsApp-ban, amely lehetővé teszi a kód végrehajtását egy speciálisan kialakított hanghívás küldésével;
Sebezhetőség a Chrome böngészőben használt Skia grafikus könyvtárban, ami egyes geometriai transzformációk lebegőpontos hibái miatt memóriasérüléshez vezethet;
Legjobb kiváltságelvű sebezhetőség. A győzelmet az azonosításért ítélték oda sebezhetőségek az iOS kernelben, amely a Safari böngészőn keresztül elérhető ipc_voucher segítségével használható.
A díjra még jelöltek:
Sebezhetőség Windows rendszerben, lehetővé téve a rendszer teljes irányítását a CreateWindowEx (win32k.sys) funkcióval végzett manipulációk révén. A problémát a sérülékenységet kihasználó rosszindulatú programok elemzése során azonosították, mielőtt kijavították volna;
Sebezhetőség runc és LXC esetén a Docker és más tárolóelválasztó rendszereket érinti, lehetővé téve a támadó által vezérelt elszigetelt tároló számára, hogy módosítsa a runc végrehajtható fájlt, és root jogosultságokat szerezzen a gazdagép oldalon;
Sebezhetőség iOS-ben (CFPrefsDaemon), amely lehetővé teszi az elkülönítési módok megkerülését és a kód futtatását root jogokkal;
Sebezhetőség az Androidban használt Linux TCP-verem kiadásában, amely lehetővé teszi a helyi felhasználók számára, hogy növeljék jogosultságaikat az eszközön;
Sebezhetőségek a systemd-journaldban, amely lehetővé teszi a root jogok megszerzését;
Sebezhetőség a /tmp tisztítására szolgáló tmpreaper segédprogramban, amely lehetővé teszi a fájl mentését a fájlrendszer bármely részébe;
A legjobb kriptográfiai támadás. A valós rendszerek, protokollok és titkosítási algoritmusok legjelentősebb hibáinak azonosításáért díjazták. A díjat az azonosításért ítélték oda sebezhetőségek a WPA3 vezeték nélküli hálózati biztonsági technológiában és az EAP-pwd-ben, amely lehetővé teszi a csatlakozási jelszó újbóli létrehozását, és a jelszó ismerete nélkül hozzáférhet a vezeték nélküli hálózathoz.
A díj további jelöltjei voltak:
módszer támadások a PGP és S/MIME titkosítás ellen e-mail kliensekben;
Alkalmazás hidegindítási módszer a titkosított Bitlocker partíciók tartalmához való hozzáféréshez;
Sebezhetőség OpenSSL-ben, amely lehetővé teszi a helytelen kitöltés és a helytelen MAC fogadásának helyzeteinek elkülönítését. A problémát a nulla bájtok helytelen kezelése okozza a padding oracle-ben;
Problémák Németországban használt, SAML-t használó személyi igazolványokkal;
probléma a véletlen számok entrópiájával az U2F tokenek támogatásának megvalósítása során a ChromeOS rendszerben;
Sebezhetőség a Monocypherben, aminek köszönhetően a null EdDSA aláírásokat helyesnek ismerte fel.
A valaha volt leginnovatívabb kutatás. A díjat a technológia kidolgozója kapta Vektoros emuláció, amely AVX-512 vektorutasításokat használ a programvégrehajtás emulálására, ami lehetővé teszi a fuzzing tesztelési sebesség jelentős növelését (akár 40-120 milliárd utasítás másodpercenként). A technika lehetővé teszi, hogy az egyes CPU magok 8 64 bites vagy 16 32 bites virtuális gépet fussanak párhuzamosan az alkalmazás összemosó tesztelésére vonatkozó utasításokkal.
A díjra a következők voltak jogosultak:
Sebezhetőség az MS Excel Power Query technológiájában, amely lehetővé teszi a kódvégrehajtás megszervezését és az alkalmazások elkülönítési módszereinek megkerülését speciálisan kialakított táblázatok megnyitásakor;
módszer a Tesla autók robotpilótájának megtévesztése a szembejövő sávba való behajtásra;
SonarSnoop - ujjmozgáskövető technika a telefon feloldó kódjának meghatározásához, a szonár működés elve alapján - az okostelefon felső és alsó hangszórói hallhatatlan rezgéseket generálnak, a beépített mikrofonok pedig felfogják azokat, hogy elemzik a visszaverődő rezgések jelenlétét kéz;
tervezés az NSA Ghidra reverse engineering eszközkészlete;
SAFE — egy technika, amely bináris összeállítások elemzése alapján meghatározza, hogy több végrehajtható fájlban azonos funkciókhoz használ-e kódot;
teremtés egy módszer az Intel Boot Guard mechanizmusának megkerülésére a módosított UEFI firmware betöltéséhez digitális aláírás ellenőrzése nélkül.
A legbénább reakció az eladótól (Lamest Vendor Response). Jelölés a saját termékében lévő biztonsági résről szóló üzenetre adott legnem megfelelő válaszért. A nyertesek a BitFi kriptotárca fejlesztői, akik a valóságban képzeletnek bizonyult termékük ultrabiztonságáról kiabálnak, zaklatják a sebezhetőségeket feltáró kutatókat, és nem fizetik ki a problémák azonosításáért ígért bónuszokat;
A díjra pályázók között szerepelt még:
Egy biztonsági kutató azzal vádolta meg az Atrient igazgatóját, hogy megtámadta, hogy kényszerítse az általa azonosított sebezhetőségről szóló jelentés eltávolítására, de az igazgató tagadja az incidenst, és a térfigyelő kamerák nem rögzítették a támadást;
A nagyítás késleltette a kritikus probléma megoldását sebezhetőségek konferenciarendszerében, és csak a nyilvánosságra hozatal után javította ki a problémát. A biztonsági rés lehetővé tette a külső támadók számára, hogy adatokat szerezzenek a macOS-felhasználók webkameráiból, amikor a böngészőben egy speciálisan kialakított oldalt nyitottak meg (a Zoom elindított egy http szervert a kliens oldalon, amely parancsokat kapott a helyi alkalmazástól).
10 évnél hosszabb korrekciós hiba a probléma OpenPGP kriptográfiai kulcsszerverekkel, arra hivatkozva, hogy a kód egy adott OCaml nyelven íródott, és karbantartó nélkül marad.
Az eddigi legtöbbet felkapott sebezhetőségi bejelentés. Díjazzák a probléma legszánalmasabb és legszélesebb körű internetes és médiás tudósítását, különösen akkor, ha a sérülékenység végül a gyakorlatban kiaknázhatatlannak bizonyul. A díjat a Bloomberg kapta kérelem a Super Micro kártyákon lévő kémchipek azonosításáról, amit nem erősítettek meg, és a forrás határozottan jelezte egyéb információk.
A jelölésben megemlítve:
Sebezhetőség a libssh-ban, ami érintette egykiszolgálós alkalmazások (a libssh-t szinte soha nem használják kiszolgálókhoz), de az NCC Group biztonsági résként mutatta be, amely lehetővé teszi bármely OpenSSH-kiszolgáló megtámadását.
Támadás DICOM-képekkel. A lényeg az, hogy elkészíthet egy futtatható fájlt a Windows számára, amely úgy néz ki, mint egy érvényes DICOM-kép. Ez a fájl letölthető az orvosi eszközre és végrehajtható.
Sebezhetőség Thrangrycat, amely lehetővé teszi a biztonságos rendszerindítási mechanizmus megkerülését a Cisco eszközökön. A sérülékenység túlzott problémának minősül, mert a támadáshoz root jogok szükségesek, de ha a támadó már root hozzáférést tudott szerezni, akkor milyen biztonságról beszélhetünk. A sebezhetőség a leginkább alábecsült problémák kategóriájában is nyert, mivel lehetővé teszi, hogy egy állandó hátsó ajtót vigyünk be a Flash-be;
A legnagyobb kudarc (A legtöbb epikus FAIL). A győzelmet a Bloomberg kapta egy sor szenzációs cikkért, hangos címekkel, de kitalált tényekkel, a források eltitkolásával, az összeesküvés-elméletekhez való alászállással, az olyan kifejezések használatával, mint a „kiberfegyver” és az elfogadhatatlan általánosítások. További jelöltek:
Shadowhammer támadás az Asus firmware-frissítő szolgáltatása ellen;
A „feltörhetetlennek” hirdetett BitFi-tároló feltörése;
Személyes adatok kiszivárogtatása és tokenek hozzáférés a Facebookhoz.