Pwnie Awards 2019: le vulnerabilità più significative e i fallimenti nella sicurezza

Durante la conferenza Black Hat USA tenutasi a Las Vegas si è svolta la cerimonia di premiazione Pwnie Awards 2019, in cui sono state evidenziate le vulnerabilità più importanti e i fallimenti assurdi nel campo della sicurezza informatica. I Pwnie Awards sono considerati l'equivalente dell'Oscar e del Golden Raspberry nel settore della sicurezza informatica e vengono assegnati annualmente dal 2007.

Principali vincitori e categorie:

  • Miglior errore del server. Assegnato per la scoperta e lo sfruttamento dell'errore più tecnicamente complesso e interessante in un servizio di rete. I vincitori sono stati i ricercatori che hanno scoperto Una vulnerabilità nel provider VPN Pulse Secure, il cui servizio VPN è utilizzato da Twitter, Uber, Microsoft, SLA, SpaceX, Akamai, Intel, IBM, VMware, dalla Marina degli Stati Uniti, dal Ministero della Sicurezza Nazionale degli Stati Uniti e probabilmente da metà delle aziende della lista Fortune 500. I ricercatori hanno trovato un backdoor che consente a un attaccante non autenticato di cambiare la password di qualsiasi utente. È stata dimostrata la possibilità di sfruttare il problema per ottenere accesso root al server VPN, che ha aperto solo la porta HTTPS;

    Tra i candidati non premiati si possono notare:

    • Sfruttata nella fase pre-autenticazione una vulnerabilità nel sistema di integrazione continua Jenkins, che consente l'esecuzione di codice sul server. La vulnerabilità è attivamente utilizzata dai bot per organizzare il mining di criptovaluta sui server;
    • Critica una vulnerabilità nel server di posta Exim, che consente di eseguire codice sul server con diritti root;
    • Vulnerabilità nelle telecamere IP Xiongmai XMeye P2P, che consentono di prendere il controllo del dispositivo. Le telecamere venivano fornite con una password di ingegneria e non utilizzavano il controllo della firma digitale durante l'aggiornamento del firmware;
    • Critica una vulnerabilità nella realizzazione del protocollo RDP in Windows, che consente di eseguire il proprio codice da remoto;
    • Vulnerabilità in WordPress, relativa al caricamento di codice PHP sotto forma di immagine. Il problema consente di eseguire codice arbitrario sul server, avendo privilegi di autore sul sito;
  • Miglior errore nel software client. Il vincitore è stato dichiarato facilmente sfruttabile una vulnerabilità nel sistema di videochiamate di gruppo Apple FaceTime, che consente all'iniziatore della videochiamata di forzare la ricezione della chiamata sul lato del destinatario (ad esempio, per ascoltare e spiare).

    Candidati anche per il premio:

    • Vulnerabilità in WhatsApp, che consente l'esecuzione del proprio codice tramite l'invio di una chiamata vocale appositamente formattata;
    • Vulnerabilità nella libreria grafica Skia, utilizzata nel browser Chrome, che può causare danni alla memoria a causa di errori nelle operazioni in virgola mobile durante alcune trasformazioni geometriche;
  • Migliore vulnerabilità che porta a un aumento dei privilegi. La vittoria è stata assegnata per la scoperta di vulnerabilità nel kernel di iOS, sfruttabile tramite ipc_voucher, accessibile attraverso il browser Safari.

    Candidati anche per il premio:

    • Vulnerabilità in Windows, che consente di avere il pieno controllo sul sistema attraverso manipolazioni della funzione CreateWindowEx (win32k.sys). Il problema è stato identificato durante l'analisi di malware che sfruttava la vulnerabilità prima della sua correzione;
    • Vulnerabilità in runc e LXC, che coinvolge Docker e altri sistemi di isolamento dei container, consente a un container isolato, sotto il controllo di un attaccante, di modificare il file eseguibile runc e ottenere privilegi root sul sistema ospitante;
    • Vulnerabilità in iOS (CFPrefsDaemon), che consente di bypassare le modalità di isolamento ed eseguire codice con privilegi di root;
    • Vulnerabilità nell'implementazione dello stack TCP di Linux utilizzato in Android, che consente a un utente locale di elevare i propri privilegi sul dispositivo;
    • Vulnerabilità in systemd-journald, che consente di ottenere diritti root;
    • Vulnerabilità nella utility tmpreaper per la pulizia di /tmp, che consente di mantenere il proprio file in qualsiasi parte del FS;
  • Il miglior attacco crittografico. Assegnato per la scoperta delle vulnerabilità più significative in sistemi reali, protocolli e algoritmi di crittografia. Il premio è stato assegnato per l'identificazione vulnerabilità nella tecnologia di protezione delle reti wireless WPA3 e in EAP-pwd, che consentono di ricreare la password di connessione e accedere alla rete wireless senza conoscere la password.

    Tra i candidati per il premio c'erano anche:

    • Metodo attacchi alla crittografia PGP e S/MIME nei client di posta;
    • Applicazione del metodo di cold reboot per accedere al contenuto delle partizioni crittografate di Bitlocker;
    • Vulnerabilità in OpenSSL, che consente di separare le situazioni di ricezione di padding errato e MAC errato. Il problema è causato da una gestione non corretta dei byte nulli nel padding oracle;
    • Problemi con le carte di identificazione usate in Germania, che utilizzano SAML;
    • Problema con l'entropia dei numeri casuali nell'implementazione del supporto per i token U2F in ChromeOS;
    • Vulnerabilità in Monocypher, a causa della quale venivano accettate firme EdDSA nulle.
  • La ricerca più innovativa. Il premio è stato assegnato allo sviluppatore della tecnologia Vectorized Emulation, utilizzando istruzioni vettoriali AVX-512 per emulare l'esecuzione di programmi, consentendo un notevole aumento della velocità di fuzzing (fino a 40-120 miliardi di istruzioni al secondo). La tecnica consente di eseguire parallelamente su ciascun core della CPU 8 macchine virtuali a 64 bit o 16 a 32 bit con istruzioni per fuzzing dell'applicazione.

    ha concorso per il premio:

    • Vulnerabilità nella tecnologia Power Query di MS Excel, che consente di organizzare l'esecuzione di codice e di eludere i metodi di isolamento delle applicazioni all'apertura di fogli elettronici appositamente formattati;
    • Metodo inganno del pilota automatico delle auto Tesla per provocare l'uscita nella corsia di sorpasso;
    • Lavoro sul reverse engineering del chip ASICS Siemens S7-1200;
    • SonarSnoop — tecnica di tracciamento del movimento delle dita per determinare il codice di sblocco del telefono, basata sul principio di funzionamento del sonar: gli altoparlanti superiori e inferiori dello smartphone generano oscillazioni inaudibili, mentre i microfoni integrati catturano questi suoni per analizzare la presenza delle oscillazioni riflesse dalla mano;
    • Sviluppo di strumenti per reverse engineering Ghidra allNSA;
    • SAFE — tecnica per identificare l'uso di codice con funzioni identiche in diversi file eseguibili basata sull'analisi delle build binarie;
    • Creazione metodo per eludere il meccanismo Intel Boot Guard per caricare firmware UEFI modificati senza verifica della firma digitale.
  • La reazione più inadeguata da parte del fornitore (Lamest Vendor Response). Nominato per la reazione più inadeguata a un avviso di vulnerabilità nel proprio prodotto. I vincitori sono stati gli sviluppatori del portafoglio crittografico BitFi, che vantano la massima sicurezza del loro prodotto, che si è rivelata illusoria, e che hanno perseguitato i ricercatori che hanno evidenziato le vulnerabilità senza pagare i premi promessi per la segnalazione dei problemi;

    Tra i candidati per il premio sono stati considerati anche:

    • Un ricercatore di sicurezza ha accusato il direttore di Atrient di attacco per costringerlo a rimuovere il rapporto sulla vulnerabilità da lui scoperta, ma il direttore nega l'incidente e le telecamere di sorveglianza non hanno registrato l'attacco;
    • L'azienda Zoom ha ritardato la correzione di una vulnerabilità critica vulnerabilità nella loro piattaforma di videoconferenza e ha risolto il problema solo dopo un'esposizione pubblica. La vulnerabilità consentiva a un attaccante esterno di ottenere dati dalle webcam degli utenti macOS aprendo un'apposita pagina nel browser (zoom avviava un server http sul lato client, in grado di ricevere comandi dall'applicazione locale).
    • L'incapacità di risolvere per oltre 10 anni il problema con i server di chiavi crittografiche OpenPGP, motivando che il codice è scritto in un linguaggio specifico, l'OCaml, e rimane privo di supporto.

    L'annuncio più gonfiato su una vulnerabilità. Assegnato per la copertura più pomposa e amplificata del problema su Internet e nei media, soprattutto se alla fine la vulnerabilità risulta non sfruttabile nella pratica. Il premio è stato conferito alla rivista Bloomberg per la dichiarazione sulla scoperta di chip spia nelle schede Super Micro, che non è stata confermata, mentre la fonte indicava informazioni completamente diverse..

    Nella nomination sono menzionati:

    • La vulnerabilità in libssh, che riguardava singole applicazioni server (libssh è quasi inutilizzato per server), ma è stata presentata dalla NCC Group come una vulnerabilità che consentiva di attaccare qualsiasi server OpenSSH.
    • Attacco tramite immagini in formato DICOM. L'idea è che si possa preparare un file eseguibile per Windows che appaia come un'immagine DICOM valida. Questo file può essere caricato su un dispositivo medico e eseguito.
    • Vulnerabilità Thrangrycat, che permette di eludere il meccanismo di avvio sicuro sui dispositivi Cisco. La vulnerabilità è considerata un problema esagerato poiché per l'attacco è necessario avere i diritti di root, ma se un attaccante è già riuscito a ottenere accesso root, quale sicurezza può essere garantita? Questa vulnerabilità ha anche vinto nella categoria dei problemi più sottovalutati, in quanto consente di inserire un backdoor permanente in Flash;
  • Il più grande fallimento (Most Epic FAIL). Il premio è stato assegnato alla pubblicazione Bloomberg per una serie di articoli sensazionali con titoli accattivanti, ma con fatti inventati, fonti taciute, scivolamenti verso teorie del complotto, uso di termini come "cyber-arma" e generalizzazioni inaccettabili. Tra gli altri candidati:
    • Attacco Shadowhammer al servizio di aggiornamento firmware Asus;
    • Hack del portafoglio BitFi, pubblicizzato come "inviolabile";
    • Fughe di dati personali e token di accesso a Facebook.

Fonte: opennet.ru

Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server 🔥 Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server | ProHoster