ProHoster > Օրագիր > ինտերնետ նորություններ > Pwnie Awards 2019. Անվտանգության ամենակարևոր խոցելիությունները և ձախողումները

Pwnie Awards 2019. Անվտանգության ամենակարևոր խոցելիությունները և ձախողումները

Լաս Վեգասում կայացած Black Hat USA համաժողովում տեղի ունեցավ մրցանակաբաշխություն Pwnie Awards 2019, որն ընդգծում է համակարգչային անվտանգության ոլորտում ամենանշանակալի խոցելիությունները և անհեթեթ ձախողումները։ Pwnie մրցանակաբաշխությունը համարվում է Օսկարի և Ոսկե ազնվամորիների համարժեքը համակարգչային անվտանգության ոլորտում և անցկացվում է ամեն տարի 2007 թվականից։

Հիմնական Winners и թեկնածուներ:

  • Լավագույն սերվերի սխալ. Պարգևատրվել է ցանցային ծառայության մեջ տեխնիկապես ամենաբարդ և հետաքրքիր սխալը հայտնաբերելու և օգտագործելու համար: Հաղթողները եղել են հետազոտողները, բացահայտվել է Խոցելիություն VPN մատակարար Pulse Secure-ում, որի VPN ծառայությունն օգտագործում են Twitter-ը, Uber-ը, Microsoft-ը, sla-ն, SpaceX-ը, Akamai-ն, Intel-ը, IBM-ը, VMware-ը, ԱՄՆ նավատորմը, ԱՄՆ ներքին անվտանգության նախարարությունը (DHS) և հավանաբար Fortune 500 ընկերությունների կեսը: Հետազոտողները հայտնաբերել են հետին դուռ, որը թույլ է տալիս չհաստատված հարձակվողին փոխել ցանկացած օգտատիրոջ գաղտնաբառը: Ցուցադրել է խնդիրը օգտագործելու հնարավորությունը VPN սերվերին արմատական ​​մուտք ձեռք բերելու համար, որն ունի միայն HTTPS պորտը բաց.

    Մրցանակ չստացած թեկնածուներից կարելի է նշել հետևյալը.

    • Շահագործվում է նախնական վավերացման փուլում խոցելիություն Jenkins շարունակական ինտեգրման համակարգում, որը թույլ է տալիս կատարել կոդը սերվերի վրա: Խոցելիությունը ակտիվորեն օգտագործվում է բոտերի կողմից՝ սերվերների վրա կրիպտոարժույթի մայնինգ կազմակերպելու համար.
    • Քննադատական խոցելիություն Exim փոստի սերվերում, որը թույլ է տալիս կատարել կոդը սերվերի վրա արմատային իրավունքներով.
    • Խոցելիություններ Xiongmai XMeye P2P IP տեսախցիկներում՝ թույլ տալով կառավարել սարքը: Տեսախցիկները տրամադրվել են ինժեներական գաղտնաբառով և որոնվածը թարմացնելիս չեն օգտագործել թվային ստորագրության ստուգում.
    • Քննադատական խոցելիություն RDP արձանագրության իրականացման գործում Windows, որը թույլ է տալիս հեռակա կերպով կատարել ձեր կոդը։
    • Խոցելիություն в WordPress, որը ենթադրում է պատկերի տեսքով քողարկված PHP կոդի վերբեռնում: Այս խնդիրը թույլ է տալիս սերվերի վրա կատարել կամայական կոդ՝ կայքում հեղինակի արտոնություններով։
  • Հաճախորդի ծրագրաշարի լավագույն սխալը. Հաղթողը ճանաչվել է հեշտ գործելու համար խոցելիություն Apple FaceTime խմբային զանգերի համակարգում, որը թույլ է տալիս խմբային զանգի նախաձեռնողին սկսել զանգի հարկադիր ընդունումը զանգահարած բաժանորդի կողմից (օրինակ՝ լսելու և լրտեսելու համար):

    Մրցանակի համար առաջադրվել են նաև հետևյալները.

    • Խոցելիություն WhatsApp-ում, որը թույլ է տալիս կատարել ձեր կոդը՝ ուղարկելով հատուկ մշակված ձայնային զանգ.
    • Խոցելիություն Chrome բրաուզերում օգտագործվող Skia գրաֆիկական գրադարանում, որը կարող է հիշողության խաթարում առաջացնել որոշ երկրաչափական փոխակերպումների մեջ լողացող կետի սխալի պատճառով.
  • Արտոնությունների բարձրացման լավագույն խոցելիությունը. Հաղթանակը շնորհվել է նույնականացման համար խոցելիություններ iOS միջուկում, որը կարող է շահագործվել ipc_voucher-ի միջոցով, որը հասանելի է Safari բրաուզերի միջոցով:

    Մրցանակի համար առաջադրվել են նաև հետևյալները.

    • Խոցելիություն в Windows, որը թույլ է տալիս ամբողջական համակարգային վերահսկողություն իրականացնել՝ CreateWindowEx ֆունկցիան (win32k.sys) մանիպուլյացիայի ենթարկելով։ Խնդիրը հայտնաբերվել է վնասակար ծրագրի վերլուծության ընթացքում, որը շահագործել էր խոցելիությունը՝ դրա թարմացումից առաջ։
    • Խոցելիություն runc-ում և LXC-ում՝ ազդելով Docker-ի և բեռնարկղերի մեկուսացման այլ համակարգերի վրա՝ թույլ տալով հարձակվողի կողմից կառավարվող մեկուսացված կոնտեյներին փոփոխել runc գործարկվող տարբերակը և ստանալ արմատային արտոնություններ հյուրընկալող համակարգում.
    • Խոցելիություն iOS-ում (CFPrefsDaemon), որը թույլ է տալիս շրջանցել մեկուսացման ռեժիմները և կատարել կոդը արմատային արտոնություններով.
    • Խոցելիություն TCP stack-ի վերանայման մեջ Linux, օգտագործվում է Android, որը թույլ է տալիս տեղական օգտատիրոջը բարձրացնել իր արտոնությունները սարքում։
    • Խոցելիություններ systemd-journald-ում, որը թույլ է տալիս ձեռք բերել արմատային իրավունքներ.
    • Խոցելիություն tmpreaper կոմունալում մաքրման /tmp-ում, որը թույլ է տալիս պահպանել ձեր ֆայլը FS-ի ցանկացած մասում.
  • Լավագույն կրիպտոգրաֆիկ հարձակումը. Պարգևատրվել է իրական համակարգերի, արձանագրությունների և գաղտնագրման ալգորիթմների ամենակարևոր թերությունները հայտնաբերելու համար: Մրցանակը շնորհվել է նույնականացման համար խոցելիություններ անլար ցանցերի անվտանգության WPA3 տեխնոլոգիաներում և EAP-pwd-ում, որոնք թույլ են տալիս վերստեղծել կապի գաղտնաբառը և մուտք գործել անլար ցանց՝ առանց գաղտնաբառը իմանալու:

    Մրցանակի համար առաջադրվել են նաև հետևյալները.

    • մեթոդ հարձակումներ PGP-ի և S/MIME կոդավորման վրա էլփոստի հաճախորդների վրա.
    • Դիմում Bitlocker ծածկագրված միջնորմների բովանդակությունը մուտք գործելու սառը բեռնման մեթոդ;
    • Խոցելիություն OpenSSL-ում, որը թույլ է տալիս առանձնացնել սխալ լիցքավորման և սխալ MAC-ի ստացման իրավիճակները: Խնդիրն առաջացել է padding oracle-ում զրոյական բայթերի սխալ մշակման պատճառով;
    • Problems Գերմանիայում օգտագործվող նույնականացման քարտերով, որոնք օգտագործում են SAML;
    • խնդիր պատահական թվերի էնտրոպիայով՝ ChromeOS-ում U2F նշանի աջակցության իրականացման ժամանակ.
    • Խոցելիություն Monocypher-ում, որի պատճառով EdDSA-ի զրոյական ստորագրությունները վավեր են ճանաչվել:
  • Ամենանորարար հետազոտությունը. Մրցանակը շնորհվել է տեխնոլոգիան մշակողին Վեկտորացված էմուլյացիա, որն օգտագործում է AVX-512 վեկտորային հրահանգները՝ ծրագրի կատարումը ընդօրինակելու համար, ինչը թույլ է տալիս զգալի մեծացնել fuzzing թեստավորման արագությունը (մինչև 40-120 միլիարդ հրահանգ վայրկյանում): Տեխնիկան թույլ է տալիս յուրաքանչյուր պրոցեսորի միջուկին գործարկել 8 64-բիթանոց կամ 16 32-բիթանոց վիրտուալ մեքենաներ՝ հավելվածի փորձարկման անորոշ հրահանգներին զուգահեռ:

    Մրցանակի համար առաջադրվել են հետևյալները.

    • Խոցելիություն MS Excel-ից Power Query տեխնոլոգիայում, որը թույլ է տալիս կազմակերպել կոդի կատարումը և շրջանցել հավելվածների մեկուսացման մեթոդները հատուկ մշակված աղյուսակներ բացելիս;
    • մեթոդ խաբել Tesla մեքենաների ավտոպիլոտին՝ սադրելու նրանց քշել հանդիպակաց երթեւեկելի գոտի.
    • Աշխատել Siemens S7-1200 ASICS չիպի հակադարձ ճարտարագիտության վրա;
    • SonarSnoop — հեռախոսի ապակողպման կոդը որոշելու համար մատների շարժումներին հետևելու տեխնիկա՝ հիմնված սոնար աշխատանքի սկզբունքի վրա. սմարթֆոնի վերին և ստորին բարձրախոսները առաջացնում են անլսելի թրթռումներ, իսկ ներկառուցված միկրոֆոնները դրանք գրավում են՝ վերլուծելու ձեռքից արտացոլված թրթռումների առկայությունը.
    • Զարգացում NSA-ի Ghidra հակադարձ ինժեներական գործիքակազմում;
    • SAFE - մի քանի գործարկվող ֆայլերում նույնական գործառույթների կոդի օգտագործումը որոշելու տեխնիկա՝ երկուական հավաքների վերլուծության հիման վրա.
    • ստեղծում Intel Boot Guard մեխանիզմը շրջանցելու մեթոդ՝ առանց թվային ստորագրության ստուգման փոփոխված UEFI որոնվածը բեռնելու համար:
  • Ամենակաղ վաճառողի արձագանքը (Վաճառողի ամենալավ արձագանքը): Առաջադրում սեփական արտադրանքի խոցելիության մասին զեկույցին ամենաանհամարժեք պատասխանի համար: Հաղթողները BitFi կրիպտո դրամապանակի մշակողներն էին, ովքեր բղավում էին իրենց արտադրանքի գերանվտանգության մասին, որն իրականում երևակայական է ստացվել, ովքեր հետապնդում են հետազոտողներին, ովքեր բացահայտում են խոցելիությունը և չեն վճարում խոստացված բոնուսները խնդիրների բացահայտման համար.

    Մրցանակի համար հաշվի են առնվել նաև հետևյալները.

    • Անվտանգության հետազոտողը մեղադրել է Ատրիենտի տնօրենին իր վրա հարձակվելու մեջ՝ ստիպելու նրան հեռացնել իր հայտնաբերած խոցելիության մասին հաղորդումը, սակայն տնօրենը հերքում է միջադեպը, և անվտանգության տեսախցիկները չեն արձանագրել հարձակումը.
    • Մեծացնելը հետաձգել է կարևոր վրիպակի շտկումը խոցելիություններ իր կոնֆերանս զանգերի համակարգում և խնդիրը լուծեց միայն դրա հրապարակային բացահայտումից հետո: Խոցելիությունը թույլ էր տալիս արտաքին հարձակվողին տվյալներ ստանալ օգտատերերի վեբ տեսախցիկներից: macOS բրաուզերում հատուկ մշակված էջ բացելիս (Zoom-ը հաճախորդի կողմից գործարկեց HTTP սերվեր, որը հրամաններ ստացավ տեղական ծրագրից):
    • 10 տարուց ավելի ուղղելու անկարողություն խնդիրը OpenPGP կրիպտոգրաֆիկ բանալի սերվերների հետ՝ վկայակոչելով այն փաստը, որ կոդը գրված է կոնկրետ OCaml լեզվով և մնում է առանց սպասարկողի։

    Խոցելիության մասին ամենահայտնի հայտարարությունը. Պարգևատրվել է համացանցում և լրատվամիջոցներում խնդրի ամենաշքեղ և լայնածավալ լուսաբանման համար, հատկապես, եթե խոցելիությունը, ի վերջո, գործնականում անօգտագործելի է դառնում: Մրցանակը շնորհվել է Bloomberg-ին հայտարարությունը Super Micro տախտակներում լրտեսական չիպերի հայտնաբերման մասին, որը չի հաստատվել, իսկ աղբյուրը ամբողջությամբ նշել է. այլ տեղեկություններ.

    Անվանակարգը ներառում է.

    • A խոցելիություն libssh, որ ազդել մեկ սերվերի հավելվածներ (libssh-ը գրեթե երբեք չի օգտագործվում սերվերների համար), սակայն NCC Group-ի կողմից ներկայացվել է որպես խոցելիություն, որը թույլ է տալիս հարձակվել ցանկացած OpenSSH սերվերի վրա:
    • Հարձակում DICOM պատկերների միջոցով։ Գաղափարն այն է, որ դուք կարող եք պատրաստել կատարվող ֆայլ՝ Windows, որը կհայտնվի որպես վավեր DICOM պատկեր: Այս ֆայլը կարող է ներբեռնվել բժշկական սարք և մշակվել:
    • Խոցելիություն Thrangrycat, որը թույլ է տալիս շրջանցել Cisco սարքերի անվտանգ բեռնման մեխանիզմը։ Խոցելիությունը դասակարգվում է որպես փքված խնդիր, քանի որ այն հարձակման համար պահանջում է արմատային մուտք, բայց եթե հարձակվողն արդեն հասցրել է root մուտք ունենալ, ապա ի՞նչ անվտանգության մասին կարող ենք խոսել: Խոցելիությունը նաև հաղթեց ամենաթերագնահատված անվանակարգում, քանի որ այն թույլ է տալիս Flash-ում ներդնել կայուն հետնադուռ;
  • Ամենամեծ ձախողումը (Առավել էպիկական FAIL): Մրցանակը տրվեց Bloomberg-ին աղմկահարույց հոդվածների շարքի համար՝ բարձր վերնագրերով, բայց հորինված փաստեր, քողարկված աղբյուրներ, շեղումներ դեպի դավադրության տեսություններ, այնպիսի տերմիններ օգտագործելու համար, ինչպիսիք են «կիբեր զենքերը» և անընդունելի ընդհանրացումները: Այլ թեկնածուների թվում են.
    • Shadowhammer հարձակում Asus որոնվածի թարմացման ծառայության վրա;
    • BitFi պահեստը գովազդվում է որպես «unhackable» կոտրված;
    • Անձնական տվյալների արտահոսք և նշաններ մուտք դեպի Facebook:

Source: opennet.ru

Գնեք հուսալի հոստինգ DDoS պաշտպանությամբ կայքերի, VPS VDS սերվերների համար 🔥 Գնեք հուսալի կայքերի հոսթինգ՝ DDoS պաշտպանությամբ, VPS VDS սերվերներով | ProHoster