ProHoster > blog > berita internet > Penghargaan Pwnie 2019: Kerentanan dan Kegagalan Keamanan Paling Signifikan

Penghargaan Pwnie 2019: Kerentanan dan Kegagalan Keamanan Paling Signifikan

Pada konferensi Black Hat USA di Las Vegas ambil tempat upacara penghargaan Penghargaan Pwnie 2019, yang menyoroti kerentanan paling signifikan dan kegagalan yang tidak masuk akal di bidang keamanan komputer. Pwnie Awards dianggap setara dengan Oscar dan Golden Raspberry di bidang keamanan komputer dan diadakan setiap tahun sejak tahun 2007.

Utama pemenang и nominasi:

  • Bug server terbaik. Diberikan karena mengidentifikasi dan mengeksploitasi bug yang paling rumit dan menarik secara teknis dalam layanan jaringan. Pemenangnya adalah para peneliti terungkap kerentanan pada penyedia VPN Pulse Secure, yang layanan VPN-nya digunakan oleh Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, Angkatan Laut AS, Departemen Keamanan Dalam Negeri AS (DHS) dan mungkin setengah dari perusahaan dari daftar Fortune 500. Para peneliti telah menemukan pintu belakang yang memungkinkan penyerang yang tidak berkepentingan mengubah kata sandi pengguna mana pun. Kemungkinan mengeksploitasi masalah untuk mendapatkan akses root ke server VPN yang hanya memiliki port HTTPS terbuka telah ditunjukkan;

    Di antara kandidat yang tidak menerima hadiah, dapat diperhatikan hal-hal berikut:

    • Dioperasikan pada tahap pra-otentikasi kerentanan dalam sistem integrasi berkelanjutan Jenkins, yang memungkinkan Anda mengeksekusi kode di server. Kerentanan ini secara aktif digunakan oleh bot untuk mengatur penambangan mata uang kripto di server;
    • Sangat penting kerentanan di server email Exim, yang memungkinkan Anda mengeksekusi kode di server dengan hak root;
    • Kerentanan di kamera IP Xiongmai XMeye P2P, memungkinkan Anda mengendalikan perangkat. Kamera dilengkapi dengan kata sandi teknik dan tidak menggunakan verifikasi tanda tangan digital saat memperbarui firmware;
    • Sangat penting kerentanan dalam penerapan protokol RDP di Windows, yang memungkinkan Anda mengeksekusi kode Anda dari jarak jauh;
    • Kerentanan di WordPress, terkait dengan memuat kode PHP yang berkedok gambar. Masalahnya memungkinkan Anda untuk mengeksekusi kode arbitrer di server, memiliki hak istimewa dari penulis publikasi (Penulis) di situs;
  • Bug Perangkat Lunak Klien Terbaik. Pemenangnya adalah yang mudah digunakan kerentanan dalam sistem panggilan grup Apple FaceTime, memungkinkan pemrakarsa panggilan grup memaksa panggilan tersebut diterima oleh pihak yang dipanggil (misalnya, untuk mendengarkan dan mengintip).

    Juga dinominasikan untuk hadiah tersebut adalah:

    • Kerentanan di WhatsApp, yang memungkinkan Anda menjalankan kode dengan mengirimkan panggilan suara yang dirancang khusus;
    • Kerentanan di perpustakaan grafis Skia yang digunakan di browser Chrome, yang dapat menyebabkan kerusakan memori karena kesalahan floating point dalam beberapa transformasi geometris;
  • Peningkatan Kerentanan Hak Istimewa Terbaik. Kemenangan diberikan untuk identifikasi kerentanan di kernel iOS, yang dapat dimanfaatkan melalui ipc_voucher, dapat diakses melalui browser Safari.

    Juga dinominasikan untuk hadiah tersebut adalah:

    • Kerentanan di Windows, memungkinkan Anda mendapatkan kendali penuh atas sistem melalui manipulasi dengan fungsi CreateWindowEx (win32k.sys). Masalahnya teridentifikasi selama analisis malware yang mengeksploitasi kerentanan sebelum diperbaiki;
    • Kerentanan di runc dan LXC, memengaruhi Docker dan sistem isolasi kontainer lainnya, memungkinkan kontainer terisolasi yang dikendalikan oleh penyerang untuk mengubah file runc yang dapat dieksekusi dan mendapatkan hak akses root di sisi sistem host;
    • Kerentanan di iOS (CFPrefsDaemon), yang memungkinkan Anda melewati mode isolasi dan mengeksekusi kode dengan hak root;
    • Kerentanan dalam edisi tumpukan TCP Linux yang digunakan di Android, memungkinkan pengguna lokal untuk meningkatkan hak istimewa mereka di perangkat;
    • Kerentanan di systemd-jurnald, yang memungkinkan Anda mendapatkan hak root;
    • Kerentanan di utilitas tmpreaper untuk membersihkan /tmp, yang memungkinkan Anda menyimpan file di bagian mana pun dari sistem file;
  • Serangan Kriptografi Terbaik. Diberikan karena mengidentifikasi kesenjangan paling signifikan dalam sistem, protokol, dan algoritma enkripsi nyata. Hadiah diberikan untuk identifikasi kerentanan dalam teknologi keamanan jaringan nirkabel WPA3 dan EAP-pwd, yang memungkinkan Anda membuat ulang kata sandi koneksi dan mendapatkan akses ke jaringan nirkabel tanpa mengetahui kata sandinya.

    Kandidat lain untuk penghargaan tersebut adalah:

    • metode serangan terhadap enkripsi PGP dan S/MIME di klien email;
    • Aplikasi metode boot dingin untuk mendapatkan akses ke konten partisi Bitlocker terenkripsi;
    • Kerentanan di OpenSSL, yang memungkinkan Anda memisahkan situasi penerimaan padding yang salah dan MAC yang salah. Masalahnya disebabkan oleh penanganan yang salah terhadap nol byte di padding Oracle;
    • Masalah dengan kartu identitas yang digunakan di Jerman menggunakan SAML;
    • masalah dengan entropi angka acak dalam penerapan dukungan untuk token U2F di ChromeOS;
    • Kerentanan di Monocypher, karena itu tanda tangan EdDSA nol dianggap benar.
  • Penelitian paling inovatif yang pernah ada. Hadiah tersebut diberikan kepada pengembang teknologi Emulasi Vektor, yang menggunakan instruksi vektor AVX-512 untuk meniru eksekusi program, memungkinkan peningkatan kecepatan pengujian fuzzing secara signifikan (hingga 40-120 miliar instruksi per detik). Teknik ini memungkinkan setiap inti CPU menjalankan 8 mesin virtual 64-bit atau 16 mesin virtual 32-bit secara paralel dengan instruksi untuk pengujian fuzzing aplikasi.

    Berikut ini yang berhak menerima penghargaan:

    • Kerentanan dalam teknologi Power Query dari MS Excel, yang memungkinkan Anda mengatur eksekusi kode dan melewati metode isolasi aplikasi saat membuka spreadsheet yang dirancang khusus;
    • metode menipu autopilot mobil Tesla untuk memprovokasi mengemudi ke jalur yang akan datang;
    • Bekerja rekayasa balik chip ASICS Siemens S7-1200;
    • SonarSnoop - Teknik pelacakan gerakan jari untuk menentukan kode buka kunci ponsel, berdasarkan prinsip operasi sonar - speaker atas dan bawah ponsel cerdas menghasilkan getaran yang tidak terdengar, dan mikrofon internal mengambilnya untuk menganalisis keberadaan getaran yang dipantulkan dari tangan;
    • Pembangunan perangkat rekayasa balik Ghidra milik NSA;
    • AMAN — teknik untuk menentukan penggunaan kode untuk fungsi identik dalam beberapa file yang dapat dieksekusi berdasarkan analisis rakitan biner;
    • penciptaan metode untuk melewati mekanisme Intel Boot Guard untuk memuat firmware UEFI yang dimodifikasi tanpa verifikasi tanda tangan digital.
  • Reaksi paling timpang dari seorang vendor (Respon Vendor Paling Lama). Nominasi untuk tanggapan yang paling tidak memadai terhadap pesan tentang kerentanan pada produk Anda sendiri. Pemenangnya adalah pengembang dompet kripto BitFi, yang berteriak tentang keamanan ultra produk mereka, yang pada kenyataannya ternyata hanya khayalan, melecehkan peneliti yang mengidentifikasi kerentanan, dan tidak membayar bonus yang dijanjikan untuk mengidentifikasi masalah;

    Di antara pelamar penghargaan juga dipertimbangkan:

    • Seorang peneliti keamanan menuduh direktur Atrient menyerangnya untuk memaksanya menghapus laporan tentang kerentanan yang dia identifikasi, namun direktur tersebut menyangkal kejadian tersebut dan kamera pengintai tidak merekam serangan tersebut;
    • Zoom tertunda memperbaiki masalah kritis kerentanan dalam sistem konferensinya dan memperbaiki masalah hanya setelah pengungkapan publik. Kerentanan tersebut memungkinkan penyerang eksternal memperoleh data dari kamera web pengguna macOS saat membuka halaman yang dirancang khusus di browser (Zoom meluncurkan server http di sisi klien yang menerima perintah dari aplikasi lokal).
    • Kegagalan untuk memperbaiki selama lebih dari 10 tahun masalahnya dengan server kunci kriptografi OpenPGP, mengutip fakta bahwa kode tersebut ditulis dalam bahasa OCaml tertentu dan tetap tanpa pengelola.

    Pengumuman kerentanan yang paling digemari. Diberikan untuk liputan masalah yang paling menyedihkan dan berskala besar di Internet dan media, terutama jika kerentanan pada akhirnya ternyata tidak dapat dieksploitasi dalam praktiknya. Hadiah tersebut diberikan kepada Bloomberg untuk pernyataan tentang identifikasi chip mata-mata di papan Super Micro, yang tidak dikonfirmasi, dan sumbernya menyatakan secara pasti Informasi lainnya.

    Disebutkan dalam nominasi:

    • Kerentanan di libssh, yang disinggung aplikasi server tunggal (libssh hampir tidak pernah digunakan untuk server), tetapi disajikan oleh NCC Group sebagai kerentanan yang memungkinkan menyerang server OpenSSH mana pun.
    • Serang menggunakan gambar DICOM. Intinya adalah Anda dapat menyiapkan file executable untuk Windows yang akan terlihat seperti image DICOM yang valid. File ini dapat diunduh ke perangkat medis dan dieksekusi.
    • Kerentanan Kucing Thrangry, yang memungkinkan Anda melewati mekanisme boot aman pada perangkat Cisco. Kerentanannya tergolong masalah yang berlebihan karena memerlukan hak root untuk menyerang, namun jika penyerang sudah bisa mendapatkan akses root, lalu keamanan apa yang bisa kita bicarakan. Kerentanan ini juga menang dalam kategori masalah yang paling diremehkan, karena memungkinkan Anda untuk memperkenalkan pintu belakang permanen ke dalam Flash;
  • Kegagalan terbesar (GAGAL Paling Epik). Kemenangan tersebut diberikan kepada Bloomberg atas serangkaian artikel sensasional dengan tajuk utama yang keras namun fakta yang dibuat-buat, penindasan sumber, turun ke teori konspirasi, penggunaan istilah seperti “senjata siber”, dan generalisasi yang tidak dapat diterima. Nominasi lainnya termasuk:
    • Serangan Shadowhammer pada layanan pembaruan firmware Asus;
    • Meretas brankas BitFi yang diiklankan sebagai “tidak dapat diretas”;
    • Kebocoran data pribadi dan token akses ke Facebook.

Sumber: opennet.ru

Tambah komentar