Alla conferenza Black Hat USA a Las Vegas cerimonia di premiazione , che mette in luce le vulnerabilità più significative e gli assurdi fallimenti nel campo della sicurezza informatica. I Pwnie Awards sono considerati l'equivalente degli Oscar e dei Golden Raspberries nel campo della sicurezza informatica e si tengono ogni anno dal 2007.
Il principale и :
- Il miglior bug del server. Premiato per aver identificato e sfruttato il bug tecnicamente più complesso e interessante in un servizio di rete. I vincitori sono stati i ricercatori vulnerabilità nel provider VPN Pulse Secure, il cui servizio VPN è utilizzato da Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, la US Navy, il US Department of Homeland Security (DHS) e probabilmente la metà dei aziende dall'elenco Fortune 500. I ricercatori hanno trovato una backdoor che consente a un utente malintenzionato non autenticato di modificare la password di qualsiasi utente. È stata dimostrata la possibilità di sfruttare il problema per ottenere l'accesso root ad un server VPN su cui è aperta solo la porta HTTPS;
Tra i candidati che non hanno ricevuto il premio si segnalano:
- Operato nella fase di pre-autenticazione nel sistema di integrazione continua Jenkins, che consente di eseguire codice sul server. La vulnerabilità viene utilizzata attivamente dai bot per organizzare il mining di criptovaluta sui server;
- critico nel server di posta Exim, che consente di eseguire codice sul server con diritti di root;
- nelle telecamere IP Xiongmai XMeye P2P, consentendoti di prendere il controllo del dispositivo. Le telecamere venivano fornite con una password tecnica e non utilizzavano la verifica della firma digitale durante l'aggiornamento del firmware;
- critico nell'implementazione del protocollo RDP in Windows, che ti consente di eseguire da remoto il tuo codice;
- in WordPress, associato al caricamento del codice PHP sotto forma di immagine. Il problema consente di eseguire codice arbitrario sul server, avendo i privilegi di autore delle pubblicazioni (Autore) sul sito;
- Miglior bug del software client. Il vincitore è stato il facile da usare nel sistema di chiamata di gruppo FaceTime di Apple, consentendo all'iniziatore di una chiamata di gruppo di forzare l'accettazione della chiamata da parte della parte chiamata (ad esempio, per ascoltare e snooping).
Sono stati inoltre nominati per il premio:
- in WhatsApp, che ti permette di eseguire il tuo codice inviando una chiamata vocale appositamente progettata;
- nella libreria grafica Skia utilizzata nel browser Chrome, che può portare al danneggiamento della memoria a causa di errori in virgola mobile in alcune trasformazioni geometriche;
- Migliore elevazione della vulnerabilità dei privilegi. La vittoria è stata assegnata per l'identificazione nel kernel iOS, che può essere sfruttato tramite ipc_voucher, accessibile tramite il browser Safari.
Sono stati inoltre nominati per il premio:
- in Windows, consentendoti di ottenere il pieno controllo del sistema attraverso manipolazioni con la funzione CreateWindowEx (win32k.sys). Il problema è stato individuato durante l'analisi del malware che sfruttava la vulnerabilità prima che questa venisse risolta;
- in runc e LXC, che colpisce Docker e altri sistemi di isolamento dei contenitori, consentendo a un contenitore isolato controllato da un utente malintenzionato di modificare il file eseguibile runc e ottenere privilegi di root sul lato del sistema host;
- in iOS (CFPrefsDaemon), che consente di bypassare le modalità di isolamento ed eseguire codice con diritti di root;
- nell'edizione dello stack TCP Linux utilizzato in Android, che consente a un utente locale di elevare i propri privilegi sul dispositivo;
- in systemd-journald, che ti consente di ottenere i diritti di root;
- nell'utilità tmpreaper per pulire /tmp, che ti consente di salvare il tuo file in qualsiasi parte del file system;
- Miglior attacco crittografico. Premiato per aver individuato le lacune più significative nei sistemi reali, nei protocolli e negli algoritmi di crittografia. Il premio è stato assegnato per l'identificazione nella tecnologia di sicurezza della rete wireless WPA3 e EAP-pwd, che consente di ricreare la password di connessione e accedere alla rete wireless senza conoscere la password.
Altri candidati al premio erano:
- attacchi alla crittografia PGP e S/MIME nei client di posta elettronica;
- metodo di avvio a freddo per accedere al contenuto delle partizioni Bitlocker crittografate;
- in OpenSSL, che consente di separare le situazioni di ricezione di riempimento errato e MAC errato. Il problema è causato dalla gestione errata di zero byte nel riempimento di Oracle;
- con carte d'identità utilizzate in Germania utilizzando SAML;
- con l'entropia dei numeri casuali nell'implementazione del supporto per i token U2F in ChromeOS;
- in Monocypher, a causa del quale le firme EdDSA nulle sono state riconosciute come corrette.
- La ricerca più innovativa di sempre. Il premio è stato assegnato allo sviluppatore della tecnologia , che utilizza istruzioni vettoriali AVX-512 per emulare l'esecuzione del programma, consentendo un aumento significativo della velocità di test fuzzing (fino a 40-120 miliardi di istruzioni al secondo). La tecnica consente a ciascun core della CPU di eseguire 8 macchine virtuali a 64 bit o 16 macchine virtuali a 32 bit in parallelo con le istruzioni per il test fuzzing dell'applicazione.
Erano idonei al premio:
- nella tecnologia Power Query di MS Excel, che consente di organizzare l'esecuzione del codice e bypassare i metodi di isolamento dell'applicazione quando si aprono fogli di calcolo appositamente progettati;
- ingannare il pilota automatico delle auto Tesla per provocare la guida nella corsia opposta;
- reverse engineering del chip ASICS Siemens S7-1200;
- - tecnica di tracciamento del movimento delle dita per determinare il codice di sblocco del telefono, basata sul principio del funzionamento del sonar: gli altoparlanti superiore e inferiore dello smartphone generano vibrazioni impercettibili e i microfoni integrati le captano per analizzare la presenza di vibrazioni riflesse dal mano;
- il kit di strumenti di reverse engineering Ghidra della NSA;
- — una tecnica per determinare l'uso del codice per funzioni identiche in diversi file eseguibili basata sull'analisi di assiemi binari;
- un metodo per bypassare il meccanismo Intel Boot Guard per caricare il firmware UEFI modificato senza verifica della firma digitale.
- La reazione più noiosa da parte di un venditore (Risposta del fornitore più debole). Nomina per la risposta più inadeguata a un messaggio relativo a una vulnerabilità nel proprio prodotto. I vincitori sono gli sviluppatori del portafoglio crittografico BitFi, che gridano dell'ultrasicurezza del loro prodotto, che in realtà si è rivelato immaginario, molestano i ricercatori che identificano le vulnerabilità e non pagano i bonus promessi per l'identificazione dei problemi;
Tra i candidati al premio considerati anche:
- Un ricercatore di sicurezza ha accusato il direttore di Atrient di averlo aggredito per costringerlo a rimuovere un rapporto su una vulnerabilità da lui individuata, ma il direttore nega l'accaduto e le telecamere di sorveglianza non hanno registrato l'attacco;
- Zoom ha ritardato la risoluzione del problema critico nel suo sistema di conferenza e ha corretto il problema solo dopo la divulgazione pubblica. La vulnerabilità ha consentito a un utente malintenzionato esterno di ottenere dati dalle webcam degli utenti macOS aprendo una pagina appositamente progettata nel browser (Zoom ha lanciato un server http sul lato client che riceveva comandi dall'applicazione locale).
- Mancata correzione per più di 10 anni con server di chiavi crittografiche OpenPGP, citando il fatto che il codice è scritto in uno specifico linguaggio OCaml e rimane senza manutentore.
L'annuncio di vulnerabilità più pubblicizzato finora. Premiato per la copertura più patetica e su larga scala del problema su Internet e sui media, soprattutto se la vulnerabilità alla fine si rivela inutilizzabile nella pratica. Il premio è stato assegnato a Bloomberg per sull'identificazione dei chip spia nelle schede Super Micro, che non è stata confermata e la fonte lo ha indicato in modo assoluto .
Menzionato nella nomina:
- Vulnerabilità in libssh, which applicazioni su singolo server (libssh non è quasi mai utilizzato per i server), ma è stato presentato dal Gruppo NCC come una vulnerabilità che consente di attaccare qualsiasi server OpenSSH.
- Attaccare utilizzando immagini DICOM. Il punto è che puoi preparare un file eseguibile per Windows che assomiglierà a un'immagine DICOM valida. Questo file può essere scaricato sul dispositivo medico ed eseguito.
- vulnerabilità , che consente di bypassare il meccanismo di avvio sicuro sui dispositivi Cisco. La vulnerabilità è classificata come un problema esagerato perché richiede i diritti di root per attaccare, ma se l'aggressore è già stato in grado di ottenere l'accesso come root, di quale sicurezza possiamo parlare? La vulnerabilità ha vinto anche nella categoria dei problemi più sottovalutati, in quanto consente di introdurre una backdoor permanente in Flash;
- Il più grande fallimento (La maggior parte degli Epic FAIL). La vittoria è stata assegnata a Bloomberg per una serie di articoli sensazionali con titoli altisonanti ma fatti inventati, soppressione delle fonti, discesa in teorie del complotto, uso di termini come “armi informatiche” e generalizzazioni inaccettabili. Altri candidati includono:
- Attacco Shadowhammer al servizio di aggiornamento firmware Asus;
- Hacking di un vault BitFi pubblicizzato come “inattaccabile”;
- Fughe di dati personali e accesso a Facebook.
Fonte: opennet.ru