ProHoster > Blog > интернет жаңылыктары > Pwnie сыйлыктары 2019: Коопсуздуктун олуттуу кемчиликтери жана каталары

Pwnie сыйлыктары 2019: Коопсуздуктун олуттуу кемчиликтери жана каталары

Лас-Вегастагы Black Hat USA конференциясында алып, сыйлык тапшыруу аземи Pwnie сыйлыктары 2019, бул компьютердин коопсуздугу чөйрөсүндөгү эң олуттуу алсыздыктарды жана абсурддуу каталарды көрсөтөт. Pwnie сыйлыктары компьютердик коопсуздук тармагындагы Оскар менен Алтын малинага барабар болуп эсептелет жана 2007-жылдан бери жыл сайын өткөрүлүп келет.

негизги лауреат и көрсөтүү:

  • Мыкты сервер катасы. Тармак кызматындагы техникалык жактан эң татаал жана кызыктуу мүчүлүштүктөрдү аныктоо жана пайдалануу үчүн сыйланган. Жеңүүчүлөр изилдөөчүлөр болду ачып берген VPN кызматын Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, АКШнын Аскер-деңиз флоту, АКШнын Улуттук коопсуздук департаменти (DHS) жана, балким, жарымы колдонгон VPN провайдеринин Pulse Secure чабалдыгы. компаниялар Fortune 500 тизмесине кирген.Окумуштуулар аутентификацияланбаган чабуулчуга каалаган колдонуучунун сырсөзүн өзгөртүүгө мүмкүндүк берген бэкдорду табышты. HTTPS порту гана ачык болгон VPN серверине тамыр мүмкүнчүлүгүн алуу үчүн көйгөйдү пайдалануу мүмкүнчүлүгү көрсөтүлдү;

    Сыйлык ала албай калган талапкерлердин арасында төмөнкүлөрдү белгилесе болот:

    • Алдын ала аутентификация стадиясында иштейт аялуу серверде кодду аткарууга мүмкүндүк берген Jenkins үзгүлтүксүз интеграция тутумунда. Аялуу серверлерде cryptocurrency казып алууну уюштуруу үчүн боттор тарабынан жигердүү колдонулат;
    • Критикалык аялуу тамыр укуктары менен серверде кодду аткарууга мүмкүндүк берген Exim почта серверинде;
    • Аялуу жерлер Xiongmai XMeye P2P IP камераларында, түзмөктү башкарууга мүмкүнчүлүк берет. Камералар инженердик сырсөз менен жабдылган жана микропрограмманы жаңыртууда санариптик кол тамганы текшерүүнү колдонгон эмес;
    • Критикалык аялуу Windowsта RDP протоколун ишке ашырууда, бул сиздин кодуңузду алыстан аткарууга мүмкүндүк берет;
    • Аялуулук WordPress-те, PHP кодун сүрөткө жамынып жүктөө менен байланышкан. Маселе сайтта басылмалардын авторунун (Авторунун) артыкчылыктарына ээ болгон серверде ыктыярдуу кодду аткарууга мүмкүндүк берет;
  • Эң мыкты кардар программалык катасы. Жеңүүчү болуп колдонууга оңой болду аялуу Apple FaceTime топтук чалуу тутумунда, топтук чалуунун демилгечисине чакырылган тараптын тарабында чалууну мажбурлап кабыл алууну баштоого мүмкүндүк берет (мисалы, угуу жана аңдып көрүү үчүн).

    Ошондой эле сыйлыкка төмөндөгүлөр көрсөтүлгөн:

    • Аялуулук атайын иштелип чыккан үн чалууну жөнөтүү аркылуу кодуңузду аткарууга мүмкүндүк берген WhatsApp-та;
    • Аялуулук Chrome браузеринде колдонулган Skia графикалык китепканасында, бул кээ бир геометриялык трансформациялардагы калкыма чекиттин каталарынан улам эс тутумдун бузулушуна алып келиши мүмкүн;
  • Артыкчылыктын эң жакшы көтөрүлүшү. Аныктоо үчүн жеңиш ыйгарылды алсыздыктар Safari браузери аркылуу жеткиликтүү болгон ipc_voucher аркылуу пайдаланылышы мүмкүн болгон iOS ядросунда.

    Ошондой эле сыйлыкка төмөндөгүлөр көрсөтүлгөн:

    • Аялуулук Windows ичинде, CreateWindowEx (win32k.sys) функциясы менен манипуляциялар аркылуу системаны толук башкарууга мүмкүндүк берет. Көйгөй аны оңдоого чейин алсыздыкты пайдаланган кесепеттүү программаны талдоо учурунда аныкталган;
    • Аялуулук runc жана LXCде, Docker жана башка контейнердик изоляция системаларына таасир этип, чабуулчу башкарган обочолонгон контейнерге runc аткарылуучу файлын өзгөртүүгө жана хост тутумунун тарабында тамыр артыкчылыктарын алууга мүмкүндүк берет;
    • Аялуулук iOS'те (CFPrefsDaemon), бул изоляция режимдерин айланып өтүүгө жана кодду тамыр укуктары менен аткарууга мүмкүндүк берет;
    • Аялуулук Android'де колдонулган Linux TCP стекинин чыгарылышында, жергиликтүү колдонуучуга түзмөктөгү артыкчылыктарын жогорулатууга мүмкүндүк берет;
    • Аялуу жерлер тамыр укуктарын алууга мүмкүндүк берет systemd-journald;
    • Аялуулук /tmp тазалоо үчүн tmpreaper утилитасында, бул сиздин файлыңызды файл тутумунун каалаган бөлүгүндө сактоого мүмкүндүк берет;
  • Мыкты криптографиялык чабуул. Чыныгы системалардагы, протоколдордогу жана шифрлөө алгоритмдериндеги эң олуттуу боштуктарды аныктоо үчүн сыйлык ыйгарылат. Аныктоо үчүн сыйлык берилди алсыздыктар WPA3 зымсыз тармактын коопсуздук технологиясында жана EAP-pwd, бул сизге туташуу сырсөзүн кайра түзүүгө жана сырсөздү билбестен зымсыз тармакка кирүү мүмкүнчүлүгүн берет.

    Сыйлыкка башка талапкерлер:

    • ыкма электрондук почта кардарларында PGP жана S/MIME шифрлөөсүнө чабуулдар;
    • арыз шифрленген Bitlocker бөлүмдөрүнүн мазмунуна жетүү үчүн муздак жүктөө ыкмасы;
    • Аялуулук OpenSSLде, бул туура эмес толтуруу жана туура эмес MAC алуу жагдайларын бөлүүгө мүмкүндүк берет. Көйгөй толтуруучу oracleда нөл байттарды туура эмес иштетүүдөн келип чыгат;
    • көйгөйлөр SAML колдонуу менен Германияда колдонулган ID карталары менен;
    • маселе ChromeOSто U2F токендерин колдоону ишке ашырууда кокус сандардын энтропиясы менен;
    • Аялуулук Monocypher, анын аркасында нөл EdDSA кол тамгалары туура деп таанылды.
  • Эң новатордук изилдөө. Сыйлык технологияны иштеп чыгуучуга ыйгарылды Вектордук эмуляция, бул программанын аткарылышын эмуляциялоо үчүн AVX-512 вектордук нускамаларын колдонот, бул тестирлөө ылдамдыгын олуттуу жогорулатууга мүмкүндүк берет (секундасына 40-120 миллиард нускамага чейин). Бул ыкма ар бир CPU өзөгүнө 8 64 бит же 16 32 бит виртуалдык машинаны тиркемени ачык эмес тестирлөө боюнча нускамалар менен катар иштетүүгө мүмкүндүк берет.

    Төмөнкүлөр сыйлыкка татыктуу болушкан:

    • Аялуулук атайын иштелип чыккан электрондук таблицаларды ачууда коддун аткарылышын уюштурууга жана тиркемени обочолонтуу ыкмаларын айланып өтүүгө мүмкүндүк берген MS Excelден Power Query технологиясында;
    • ыкма каршы тилкеге ​​айдап чыгуу үчүн Tesla унааларынын автопилотун алдоо;
    • иш ASICS чипинин тескери инженериясы Siemens S7-1200;
    • SonarSnoop - телефондун кулпусун ачуу кодун аныктоо үчүн манжалардын кыймылына көз салуу техникасы, сонардын иштөө принцибине негизделген - смартфондун үстүнкү жана астыңкы динамиктери угулбаган титирөөлөрдү жаратат, ал эми орнотулган микрофондор аларды телефондон чагылган титирөөнүн бар-жогуна талдоо жүргүзүү үчүн алат. кол;
    • дизайн NSAнын Ghidra тескери инженердик инструменттери;
    • КООПСУЗ — бинардык ассамблеяларды талдоонун негизинде бир нече аткарылуучу файлдарда бирдей функциялар үчүн коддун колдонулушун аныктоо ыкмасы;
    • түзүү санарип колтамгасын текшерүүсүз өзгөртүлгөн UEFI микропрограммасын жүктөө үчүн Intel Boot Guard механизмин айланып өтүү ыкмасы.
  • Сатуучунун эң аксак реакциясы (Эң акыркы сатуучунун жообу). Өзүңүздүн продуктуңуздагы алсыздык жөнүндө билдирүүгө эң адекваттуу эмес жооп үчүн номинация. Жеңүүчүлөр BitFi крипто-капчыгынын иштеп чыгуучулары болуп саналат, алар чындыгында эле ойдон чыгарылган нерсе болуп чыккан, алардын продуктунун ультра коопсуздугу жөнүндө кыйкырып, аялуу жерлерин аныктаган изилдөөчүлөрдү куугунтукташат жана көйгөйлөрдү аныктоо үчүн убада кылынган бонустарды төлөшпөйт;

    Сыйлыкка талапкерлердин арасында да каралат:

    • Коопсуздук изилдөөчүсү Атриенттин директорун ал аныктаган алсыздыгы тууралуу отчетту алып салууга мажбурлоо үчүн ага кол салды деп айыптады, бирок директор окуяны четке кагып, көзөмөл камералары чабуулду жаздырган жок;
    • Маанилүү маселени чечүү үчүн масштаб кечеңдетилди алсыздыктар анын жыйындар системасында жана коомчулукка ачыкка чыккандан кийин гана көйгөйдү оңдогон. Алсыздык тышкы чабуулчуга браузерде атайын иштелип чыккан баракты ачууда macOS колдонуучуларынын веб камераларынан маалыматтарды алууга мүмкүндүк берди (Zoom жергиликтүү тиркемеден буйруктарды алган кардар тарапта http серверин ишке киргизди).
    • 10 жылдан ашык убакыттан бери оңдолбогон маселе OpenPGP криптографиялык ачкыч серверлери менен, код белгилүү OCaml тилинде жазылганын жана тейлөөчүсү жок калгандыгын айтып.

    Эң кызганган аялуу жарыясы. Интернетте жана жалпыга маалымдоо каражаттарында көйгөйдү эң аянычтуу жана масштабдуу чагылдырганы үчүн, өзгөчө, эгер алсыздык иш жүзүндө колдонууга мүмкүн эмес болуп чыкса, ыйгарылат. Сыйлык Bloomberg үчүн ыйгарылды арыз Super Micro такталарындагы шпиондук чиптердин идентификациясы жөнүндө, бул тастыкталган эмес жана булак так көрсөтүлгөн башка маалымат.

    Номинацияда айтылган:

    • Либсштеги аялуу, кайсы козголду жалгыз сервердик тиркемелер (libssh дээрлик эч качан серверлер үчүн колдонулбайт), бирок NCC Group тарабынан ар кандай OpenSSH серверине чабуул жасоого мүмкүндүк берген аялуу катары сунушталган.
    • DICOM сүрөттөрүн колдонуу менен кол салуу. Кеп, сиз Windows үчүн жарактуу DICOM сүрөтүнө окшош аткарылуучу файлды даярдай аласыз. Бул файлды медициналык аппаратка жүктөп алып, аткарса болот.
    • Аялуулук Thrangrycat, бул Cisco түзмөктөрүндө коопсуз жүктөө механизмин айланып өтүүгө мүмкүндүк берет. Алсыздык ашыкча көйгөй катары классификацияланат, анткени ал чабуул үчүн түпкү укуктарды талап кылат, бирок эгерде чабуулчу мурунтан эле тамырга кирүү мүмкүнчүлүгүн ала алган болсо, анда биз кандай коопсуздук жөнүндө сүйлөшө алабыз. Алсыздык эң бааланбаган көйгөйлөр категориясында да утуп алды, анткени ал Flashге туруктуу бэкдорду киргизүүгө мүмкүндүк берет;
  • Эң чоң ийгиликсиздик (Эпикалык Эпикалык ИШТЕГЕН). Жеңиш Bloombergге катуу аталыштар, бирок жасалма фактылар, булактарды басуу, кутум теорияларына түшүү, “киберкурал” сыяктуу терминдерди колдонуу жана кабыл алынгыс жалпылоо үчүн бир катар сенсациялуу макалалар үчүн ыйгарылды. Башка талапкерлерге төмөнкүлөр кирет:
    • Asus микропрограммасын жаңыртуу кызматына Shadowhammer чабуулу;
    • BitFi сактагычын бузуп, "бүлгүс" деп жарыяланды;
    • Жеке маалыматтардын ачыкка чыгышы жана токендер Facebookка кирүү.

Source: opennet.ru

Комментарий кошуу