Anugerah Pwnie 2019: Kerentanan dan Kegagalan Keselamatan Paling Penting

Pada persidangan Black Hat USA di Las Vegas mengambil tempat majlis anugerah Anugerah Pwnie 2019, yang menyerlahkan kelemahan yang paling ketara dan kegagalan yang tidak masuk akal dalam bidang keselamatan komputer. Anugerah Pwnie dianggap setara dengan Oscar dan Raspberi Emas dalam bidang keselamatan komputer dan telah diadakan setiap tahun sejak 2007.

Utama pemenang и pencalonan:

• Pepijat pelayan terbaik. Dianugerahkan kerana mengenal pasti dan mengeksploitasi pepijat yang paling rumit dan menarik dari segi teknikal dalam perkhidmatan rangkaian. Pemenangnya adalah penyelidik didedahkan kelemahan dalam penyedia VPN Pulse Secure, yang perkhidmatan VPNnya digunakan oleh Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, Tentera Laut AS, Jabatan Keselamatan Dalam Negeri (DHS) AS dan mungkin separuh daripada syarikat daripada senarai Fortune 500. Penyelidik telah menemui pintu belakang yang membolehkan penyerang yang tidak disahkan menukar kata laluan mana-mana pengguna. Kemungkinan mengeksploitasi masalah untuk mendapatkan akses root kepada pelayan VPN yang hanya port HTTPS dibuka telah ditunjukkan;

  Di antara calon yang tidak menerima hadiah, perkara berikut boleh diambil perhatian:

  • Dikendalikan dalam peringkat pra-pengesahan kelemahan dalam sistem penyepaduan berterusan Jenkins, yang membolehkan anda melaksanakan kod pada pelayan. Kerentanan digunakan secara aktif oleh bot untuk mengatur perlombongan mata wang kripto pada pelayan;
  • kritikal kelemahan dalam pelayan mel Exim, yang membolehkan anda melaksanakan kod pada pelayan dengan hak akar;
  • Kelemahan dalam kamera IP Xiongmai XMeye P2P, membolehkan anda mengawal peranti. Kamera dibekalkan dengan kata laluan kejuruteraan dan tidak menggunakan pengesahan tandatangan digital semasa mengemas kini perisian tegar;
  • kritikal kelemahan dalam pelaksanaan protokol RDP dalam Windows, yang membolehkan anda melaksanakan kod anda dari jauh;
  • Kerentanan dalam WordPress, dikaitkan dengan memuatkan kod PHP di bawah samaran imej. Masalahnya membolehkan anda melaksanakan kod sewenang-wenangnya pada pelayan, mempunyai keistimewaan pengarang penerbitan (Pengarang) di tapak;
• Pepijat Perisian Pelanggan Terbaik. Pemenangnya adalah yang mudah digunakan kelemahan dalam sistem panggilan kumpulan Apple FaceTime, membenarkan pemula panggilan kumpulan untuk memulakan penerimaan paksa panggilan di sisi pihak yang dipanggil (contohnya, untuk mendengar dan mengintip).

  Turut dicalonkan untuk hadiah tersebut ialah:

  • Kerentanan dalam WhatsApp, yang membolehkan anda melaksanakan kod anda dengan menghantar panggilan suara yang direka khas;
  • Kerentanan dalam pustaka grafik Skia yang digunakan dalam penyemak imbas Chrome, yang boleh membawa kepada kerosakan memori akibat ralat titik terapung dalam beberapa transformasi geometri;
• Peningkatan Keterdedahan Keistimewaan Terbaik. Kemenangan telah dianugerahkan untuk mengenal pasti kelemahan dalam kernel iOS, yang boleh dieksploitasi melalui ipc_voucher, boleh diakses melalui penyemak imbas Safari.

  Turut dicalonkan untuk hadiah tersebut ialah:

  • Kerentanan dalam Windows, membolehkan anda mendapatkan kawalan penuh ke atas sistem melalui manipulasi dengan fungsi CreateWindowEx (win32k.sys). Masalahnya dikenal pasti semasa analisis perisian hasad yang mengeksploitasi kelemahan sebelum ia diperbaiki;
  • Kerentanan dalam runc dan LXC, menjejaskan Docker dan sistem pengasingan kontena lain, membenarkan bekas terpencil yang dikawal oleh penyerang menukar fail boleh laku runc dan mendapat keistimewaan root pada sisi sistem hos;
  • Kerentanan dalam iOS (CFPrefsDaemon), yang membolehkan anda memintas mod pengasingan dan melaksanakan kod dengan hak akar;
  • Kerentanan dalam edisi tindanan TCP Linux yang digunakan dalam Android, membenarkan pengguna tempatan untuk meningkatkan keistimewaan mereka pada peranti;
  • Kelemahan dalam systemd-journald, yang membolehkan anda mendapatkan hak root;
  • Kerentanan dalam utiliti tmpreaper untuk pembersihan /tmp, yang membolehkan anda menyimpan fail anda di mana-mana bahagian sistem fail;
• Serangan Kriptografi Terbaik. Dianugerahkan untuk mengenal pasti jurang paling ketara dalam sistem sebenar, protokol dan algoritma penyulitan. Hadiah telah diberikan untuk mengenal pasti kelemahan dalam teknologi keselamatan rangkaian wayarles WPA3 dan EAP-pwd, yang membolehkan anda mencipta semula kata laluan sambungan dan mendapatkan akses kepada rangkaian wayarles tanpa mengetahui kata laluan.

  Calon lain untuk anugerah tersebut ialah:

  • Kaedah serangan ke atas penyulitan PGP dan S/MIME dalam klien e-mel;
  • Permohonan kaedah but sejuk untuk mendapatkan akses kepada kandungan partition Bitlocker yang disulitkan;
  • Kerentanan dalam OpenSSL, yang membolehkan anda memisahkan situasi menerima padding yang salah dan MAC yang salah. Masalahnya disebabkan oleh pengendalian sifar bait dalam oracle padding yang salah;
  • Masalah dengan kad ID yang digunakan di Jerman menggunakan SAML;
  • masalah dengan entropi nombor rawak dalam pelaksanaan sokongan untuk token U2F dalam ChromeOS;
  • Kerentanan dalam Monocypher, kerana tandatangan EdDSA null telah diiktiraf sebagai betul.
• Penyelidikan paling inovatif yang pernah ada. Hadiah telah diberikan kepada pembangun teknologi Emulasi Vektor, yang menggunakan arahan vektor AVX-512 untuk mencontohi pelaksanaan program, membolehkan peningkatan ketara dalam kelajuan ujian kabur (sehingga 40-120 bilion arahan sesaat). Teknik ini membolehkan setiap teras CPU menjalankan 8 mesin maya 64-bit atau 16 32-bit selari dengan arahan untuk ujian kabur aplikasi.

  Berikut adalah layak menerima anugerah:

  • Kerentanan dalam teknologi Power Query daripada MS Excel, yang membolehkan anda mengatur pelaksanaan kod dan memintas kaedah pengasingan aplikasi apabila membuka hamparan yang direka khas;
  • Kaedah menipu autopilot kereta Tesla untuk mencetuskan pemanduan ke lorong yang akan datang;
  • Работа kejuruteraan terbalik cip ASICS Siemens S7-1200;
  • SonarSnoop - teknik penjejakan pergerakan jari untuk menentukan kod buka kunci telefon, berdasarkan prinsip operasi sonar - pembesar suara atas dan bawah telefon pintar menjana getaran yang tidak boleh didengar, dan mikrofon terbina dalam mengambilnya untuk menganalisis kehadiran getaran yang dipantulkan daripada tangan;
  • Pembangunan kit alat kejuruteraan terbalik Ghidra NSA;
  • SELAMAT — teknik untuk menentukan penggunaan kod untuk fungsi yang sama dalam beberapa fail boleh laku berdasarkan analisis himpunan binari;
  • penciptaan kaedah untuk memintas mekanisme Intel Boot Guard untuk memuatkan perisian tegar UEFI yang diubah suai tanpa pengesahan tandatangan digital.
• Reaksi paling pincang dari vendor (Maklum Balas Vendor Paling Lames). Pencalonan untuk respons yang paling tidak mencukupi kepada mesej tentang kelemahan dalam produk anda sendiri. Pemenang adalah pemaju dompet crypto BitFi, yang menjerit tentang ultra-keselamatan produk mereka, yang pada hakikatnya ternyata khayalan, mengganggu penyelidik yang mengenal pasti kelemahan, dan tidak membayar bonus yang dijanjikan untuk mengenal pasti masalah;

  Antara pemohon untuk anugerah itu turut dipertimbangkan:

  • Seorang penyelidik keselamatan menuduh pengarah Atrient menyerangnya untuk memaksanya mengeluarkan laporan mengenai kelemahan yang dikenal pastinya, tetapi pengarah itu menafikan kejadian itu dan kamera pengawasan tidak merekodkan serangan itu;
  • Zum tertangguh membetulkan isu kritikal kelemahan dalam sistem persidangannya dan membetulkan masalah hanya selepas pendedahan awam. Kerentanan membenarkan penyerang luar untuk mendapatkan data daripada kamera web pengguna macOS apabila membuka halaman yang direka khas dalam penyemak imbas (Zoom melancarkan pelayan http pada bahagian klien yang menerima arahan daripada aplikasi tempatan).
  • Kegagalan untuk membetulkan lebih daripada 10 tahun masalah itu dengan pelayan kunci kriptografi OpenPGP, memetik fakta bahawa kod itu ditulis dalam bahasa OCaml tertentu dan kekal tanpa penyelenggara.

  Pengumuman kerentanan yang paling digembar-gemburkan. Dianugerahkan untuk liputan masalah yang paling menyedihkan dan berskala besar di Internet dan media, terutamanya jika kelemahan akhirnya ternyata tidak dapat dieksploitasi dalam amalan. Hadiah telah diberikan kepada Bloomberg untuk pernyataan tentang pengenalpastian cip pengintip dalam papan Super Micro, yang tidak disahkan, dan sumber menunjukkan secara mutlak maklumat lain.

  Disebutkan dalam pencalonan:

  • Kerentanan dalam libssh, yang disentuh aplikasi pelayan tunggal (libssh hampir tidak pernah digunakan untuk pelayan), tetapi telah dibentangkan oleh Kumpulan NCC sebagai kelemahan yang membenarkan menyerang mana-mana pelayan OpenSSH.
  • Serang menggunakan imej DICOM. Intinya ialah anda boleh menyediakan fail boleh laku untuk Windows yang akan kelihatan seperti imej DICOM yang sah. Fail ini boleh dimuat turun ke peranti perubatan dan dilaksanakan.
  • Kerentanan Thrangrycat, yang membolehkan anda memintas mekanisme but selamat pada peranti Cisco. Kerentanan diklasifikasikan sebagai masalah berlebihan kerana ia memerlukan hak root untuk menyerang, tetapi jika penyerang sudah dapat memperoleh akses root, maka keselamatan apa yang boleh kita bincangkan. Kerentanan juga menang dalam kategori masalah yang paling dipandang remeh, kerana ia membolehkan anda memperkenalkan pintu belakang kekal ke dalam Flash;
• Kegagalan terbesar (Paling Epik GAGAL). Kemenangan itu diberikan kepada Bloomberg untuk beberapa siri artikel sensasi dengan tajuk berita yang lantang tetapi fakta yang dibuat-buat, penindasan sumber, turun ke dalam teori konspirasi, penggunaan istilah seperti "senjata siber", dan generalisasi yang tidak boleh diterima. Penama lain termasuk:
  • Serangan Shadowhammer pada perkhidmatan kemas kini perisian tegar Asus;
  • Menggodam peti besi BitFi yang diiklankan sebagai "tidak boleh digodam";
  • Kebocoran data peribadi dan token akses ke Facebook.

Sumber: opennet.ru