ProHoster > Dienoraštis > interneto naujienos > „Pwnie Awards 2019“: svarbiausi saugumo pažeidžiamumas ir gedimai

„Pwnie Awards 2019“: svarbiausi saugumo pažeidžiamumas ir gedimai

„Black Hat USA“ konferencijoje Las Vegase įvyko Apdovanojimų ceremonija Pwnie apdovanojimai 2019 m, kuriame išryškinami reikšmingiausi pažeidžiamumai ir absurdiški gedimai kompiuterių saugumo srityje. „Pwnie“ apdovanojimai kompiuterių saugumo srityje laikomi „Oskarų“ ir „Auksinių aviečių“ ekvivalentu ir rengiami kasmet nuo 2007 m.

pagrindinis nugalėtojai и nominacijų:

  • Geriausia serverio klaida. Apdovanotas už techniškai sudėtingiausios ir įdomiausios tinklo paslaugos klaidos nustatymą ir išnaudojimą. Nugalėtojais tapo mokslininkai atskleista VPN teikėjo Pulse Secure, kurio VPN paslauga naudojasi Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, JAV karinis jūrų laivynas, JAV vidaus saugumo departamentas (DHS) ir tikriausiai pusė įmonių iš „Fortune“ sąrašo 500. Tyrėjai rado užpakalines duris, leidžiančias neautentifikuotam užpuolikui pakeisti bet kurio vartotojo slaptažodį. Buvo parodyta galimybė išnaudoti problemą siekiant gauti pagrindinę prieigą prie VPN serverio, kuriame atidarytas tik HTTPS prievadas;

    Tarp prizo negavusių kandidatų galima išskirti:

    • Veikia išankstinio autentifikavimo etape pažeidžiamumas Jenkins nuolatinio integravimo sistemoje, kuri leidžia vykdyti kodą serveryje. Pažeidžiamumą aktyviai naudoja robotai, norėdami organizuoti kriptovaliutų kasimą serveriuose;
    • Kritinis pažeidžiamumas pašto serveryje Exim, kuris leidžia vykdyti kodą serveryje su root teisėmis;
    • Pažeidžiamumas Xiongmai XMeye P2P IP kamerose, leidžiančiose valdyti įrenginį. Kameroms buvo suteiktas inžinerinis slaptažodis ir atnaujinant programinę-aparatinę įrangą nebuvo naudojamas skaitmeninio parašo tikrinimas;
    • Kritinis pažeidžiamumas įdiegiant KPP protokolą sistemoje Windows, kuris leidžia nuotoliniu būdu vykdyti savo kodą;
    • Pažeidžiamumas „WordPress“, susijusi su PHP kodo įkėlimu prisidengus vaizdu. Problema leidžia vykdyti savavališką kodą serveryje, turint publikacijų autoriaus (Autoriaus) teises svetainėje;
  • Geriausia kliento programinės įrangos klaida. Nugalėtojas buvo paprastas naudoti pažeidžiamumas „Apple FaceTime“ grupinio skambinimo sistemoje, leidžiant grupinio skambučio iniciatoriui priverstinai priimti skambutį, kuriam skambinama (pavyzdžiui, norint klausytis ir šnibždėti).

    Apdovanojimui taip pat buvo nominuoti:

    • Pažeidžiamumas „WhatsApp“, kuri leidžia vykdyti savo kodą siunčiant specialiai sukurtą balso skambutį;
    • Pažeidžiamumas „Skia“ grafikos bibliotekoje, naudojamoje „Chrome“ naršyklėje, o tai gali sukelti atminties sugadinimą dėl kai kurių geometrinių transformacijų slankiojo kablelio klaidų;
  • Geriausias privilegijų pažeidžiamumas. Pergalė buvo apdovanota už atpažinimą pažeidžiamumų „iOS“ branduolyje, kurį galima išnaudoti naudojant „ipc_voucher“, pasiekiamą per „Safari“ naršyklę.

    Apdovanojimui taip pat buvo nominuoti:

    • Pažeidžiamumas sistemoje „Windows“, leidžiančią visiškai valdyti sistemą naudojant „CreateWindowEx“ (win32k.sys) funkciją. Problema buvo nustatyta analizuojant kenkėjiškas programas, kurios išnaudojo pažeidžiamumą prieš jį ištaisant;
    • Pažeidžiamumas runc ir LXC, turintis įtakos Docker ir kitoms konteinerių izoliavimo sistemoms, leidžiantis užpuoliko valdomam izoliuotam konteineriui pakeisti runc vykdomąjį failą ir įgyti pagrindines teises pagrindinės sistemos pusėje;
    • Pažeidžiamumas iOS (CFPrefsDaemon), kuri leidžia apeiti izoliavimo režimus ir vykdyti kodą su root teisėmis;
    • Pažeidžiamumas „Android“ naudojamo „Linux TCP“ rinkinio leidime, leidžiančiam vietiniam vartotojui padidinti savo privilegijas įrenginyje;
    • Pažeidžiamumas sistemoje systemd-journald, kuri leidžia įgyti root teises;
    • Pažeidžiamumas „tmpreaper“ įrankyje valymui /tmp, leidžiančiam išsaugoti failą bet kurioje failų sistemos dalyje;
  • Geriausia kriptografinė ataka. Apdovanotas už reikšmingiausių realių sistemų, protokolų ir šifravimo algoritmų spragų nustatymą. Premija įteikta už atpažinimą pažeidžiamumų WPA3 belaidžio tinklo saugos technologijoje ir EAP-pwd, kuri leidžia iš naujo sukurti prisijungimo slaptažodį ir pasiekti belaidžio tinklo nežinant slaptažodžio.

    Kiti kandidatai į apdovanojimą buvo:

    • metodas atakos prieš PGP ir S/MIME šifravimą el. pašto programose;
    • taikymas šaltojo įkrovos metodas, leidžiantis pasiekti šifruotų „Bitlocker“ skaidinių turinį;
    • Pažeidžiamumas OpenSSL, kuri leidžia atskirti situacijas, kai gaunamas neteisingas užpildymas ir neteisingas MAC. Problemą sukelia neteisingas nulio baitų tvarkymas užpildymo oracle;
    • Problemos su Vokietijoje naudojamomis ID kortelėmis naudojant SAML;
    • problema su atsitiktinių skaičių entropija įgyvendinant U2F žetonų palaikymą „ChromeOS“;
    • Pažeidžiamumas Monocypher, dėl kurio nuliniai EdDSA parašai buvo pripažinti teisingais.
  • Novatoriškiausias visų laikų tyrimas. Prizas įteiktas technologijos kūrėjui Vektorizuota emuliacija, kuris naudoja AVX-512 vektorines instrukcijas, kad imituotų programos vykdymą, leidžiant žymiai padidinti neryškų testavimo greitį (iki 40–120 mlrd. instrukcijų per sekundę). Ši technika leidžia kiekvienam procesoriaus branduoliui paleisti 8 64 bitų arba 16 32 bitų virtualių mašinų kartu su instrukcijomis, kaip neaiškiai išbandyti programos.

    Apdovanojimą galėjo gauti šie asmenys:

    • Pažeidžiamumas Power Query technologijoje iš MS Excel, kuri leidžia organizuoti kodo vykdymą ir apeiti programų atskyrimo metodus atidarant specialiai sukurtas skaičiuokles;
    • metodas Tesla automobilių autopiloto apgaudinėjimas provokuojant važiavimą į priešpriešinio eismo juostą;
    • Dirbti ASICS lusto Siemens S7-1200 atvirkštinė inžinerija;
    • SonarSnoop - pirštų judesių sekimo technika, skirta telefono atrakinimo kodui nustatyti, remiantis sonaro veikimo principu - viršutiniai ir apatiniai išmaniojo telefono garsiakalbiai generuoja negirdimą vibraciją, o įtaisyti mikrofonai juos paima, kad analizuotų, ar nėra vibracijų, atsispindinčių nuo ranka;
    • Vystymasis NSA Ghidra atvirkštinės inžinerijos priemonių rinkinys;
    • SAUGI — metodas, leidžiantis nustatyti kodo naudojimą identiškoms funkcijoms keliuose vykdomuosiuose failuose, remiantis dvejetainių rinkinių analize;
    • kūrimas metodas, leidžiantis apeiti „Intel Boot Guard“ mechanizmą ir įkelti modifikuotą UEFI programinę-aparatinę įrangą be skaitmeninio parašo patvirtinimo.
  • Pati šlykščiausia pardavėjo reakcija (Lamest pardavėjo atsakymas). Nominacija už netinkamiausią atsakymą į pranešimą apie jūsų produkto pažeidžiamumą. Laimi BitFi kriptovaliutų piniginės kūrėjai, kurie šaukia apie itin didelį savo produkto saugumą, kuris realybėje pasirodė esąs išgalvotas, persekioja pažeidžiamumus identifikuojančius tyrėjus, o už problemų nustatymą nemoka žadėtų premijų;

    Tarp pretendentų į apdovanojimą taip pat buvo:

    • Saugumo tyrėjas apkaltino „Atrient“ direktorių užpuolus jį, siekdamas priversti jį pašalinti pranešimą apie jo nustatytą pažeidžiamumą, tačiau direktorius neigia incidentą, o stebėjimo kameros užpuolimo neužfiksavo;
    • Mastelio keitimas atidėjo išspręsti kritinę problemą pažeidžiamumų savo konferencijų sistemoje ir problemą ištaisė tik viešai paskelbus. Pažeidžiamumas leido išoriniam užpuolikui gauti duomenis iš „MacOS“ vartotojų žiniatinklio kamerų atidarant specialiai sukurtą puslapį naršyklėje (Mastelio keitimas kliento pusėje paleido http serverį, kuris gavo komandas iš vietinės programos).
    • Neištaisyta daugiau nei 10 metų problema su OpenPGP kriptografinių raktų serveriais, motyvuojant tuo, kad kodas parašytas tam tikra OCaml kalba ir lieka be priežiūros.

    Kol kas labiausiai sujaudintas pažeidžiamumo pranešimas. Apdovanotas už apgailėtiniausią ir stambiausią problemos nušvietimą internete ir žiniasklaidoje, ypač jei galiausiai paaiškėja, kad pažeidžiamumas praktiškai neišnaudojamas. Premija buvo skirta „Bloomberg“. pareiškimas apie šnipinėjimo lustų identifikavimą Super Micro plokštėse, kuris nebuvo patvirtintas, o šaltinis nurodė absoliučiai Kita informacija.

    Nominacijoje paminėti:

    • Libssh pažeidžiamumas, kuris palietė vieno serverio programos (serveriams libssh beveik niekada nenaudojamas), tačiau NCC grupė ją pristatė kaip pažeidžiamumą, leidžiantį atakuoti bet kurį OpenSSH serverį.
    • Ataka naudojant DICOM vaizdus. Esmė ta, kad galite paruošti vykdomąjį failą, skirtą „Windows“, kuris atrodys kaip galiojantis DICOM vaizdas. Šį failą galima atsisiųsti į medicinos prietaisą ir paleisti.
    • Pažeidžiamumas Thrangrycat, kuri leidžia apeiti saugaus įkrovos mechanizmą Cisco įrenginiuose. Pažeidžiamumas klasifikuojamas kaip pernelyg išpūsta problema, nes norint atakuoti reikia root teisių, bet jei užpuolikas jau galėjo įgyti root prieigą, tai apie kokį saugumą galime kalbėti. Pažeidžiamumas taip pat nugalėjo labiausiai neįvertintų problemų kategorijoje, nes leidžia „Flash“ įvesti nuolatines užpakalines duris;
  • Didžiausia nesėkmė (Epiškiausia nesėkmė). Pergalė buvo skirta „Bloomberg“ už daugybę sensacingų straipsnių su skambiomis antraštėmis, bet išgalvotais faktais, šaltinių nuslėpimą, sąmokslo teorijų kėsinimąsi, tokių terminų kaip „kibernetiniai ginklai“ vartojimą ir nepriimtinus apibendrinimus. Tarp kitų nominantų yra:
    • Shadowhammer ataka prieš Asus programinės įrangos atnaujinimo paslaugą;
    • Įsilaužimas į „BitFi“ saugyklą, reklamuojamą kaip „neįveikiamas“;
    • Asmens duomenų nutekėjimas ir žetonų prieiga prie Facebook.

Šaltinis: opennet.ru

Добавить комментарий