Op de Black Hat USA-conferentie in Las Vegas prijsuitreiking , waarin de belangrijkste kwetsbaarheden en absurde fouten op het gebied van computerbeveiliging worden belicht. De Pwnie Awards worden beschouwd als het equivalent van de Oscars en Gouden Frambozen op het gebied van computerbeveiliging en worden sinds 2007 jaarlijks gehouden.
De belangrijkste и :
- Beste serverbug. Toegekend voor het identificeren en exploiteren van de technisch meest complexe en interessante bug in een netwerkdienst. De winnaars waren de onderzoekers kwetsbaarheid bij de VPN-aanbieder Pulse Secure, wiens VPN-dienst wordt gebruikt door Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, de Amerikaanse marine, het Amerikaanse ministerie van Binnenlandse Veiligheid (DHS) en waarschijnlijk de helft van de bedrijven uit de Fortune 500-lijst. Onderzoekers hebben een achterdeur gevonden waarmee een niet-geverifieerde aanvaller het wachtwoord van elke gebruiker kan wijzigen. De mogelijkheid om het probleem te misbruiken om root-toegang te krijgen tot een VPN-server waarop alleen de HTTPS-poort open is, is aangetoond;
Onder de kandidaten die de prijs niet in ontvangst hebben genomen, kan het volgende worden opgemerkt:
- Kan worden misbruikt in de pre-authenticatiefase in het continue integratiesysteem van Jenkins, waarmee u code op de server kunt uitvoeren. De kwetsbaarheid wordt actief gebruikt door bots om cryptocurrency-mining op servers te organiseren;
- Kritisch in de Exim-mailserver, waarmee u code op de server met rootrechten kunt uitvoeren;
- in Xiongmai XMeye P2P IP-camera's, zodat u de controle over het apparaat kunt overnemen. De camera's werden geleverd met een technisch wachtwoord en maakten geen gebruik van digitale handtekeningverificatie bij het updaten van de firmware;
- Kritisch bij de implementatie van het RDP-protocol in Windows, waarmee u uw code op afstand kunt uitvoeren;
- in WordPress, geassocieerd met het laden van PHP-code onder het mom van een afbeelding. Het probleem stelt u in staat willekeurige code op de server uit te voeren, met de rechten van de auteur van publicaties (auteur) op de site;
- Beste clientsoftwarefout. De winnaar was het gebruiksvriendelijke programma in het Apple FaceTime-groepsoproepsysteem, waardoor de initiatiefnemer van een groepsoproep kan forceren dat de oproep door de gebelde partij wordt geaccepteerd (bijvoorbeeld voor luisteren en snuffelen).
Voor de prijs waren tevens genomineerd:
- in WhatsApp, waarmee u uw code kunt uitvoeren door een speciaal ontworpen spraakoproep te sturen;
- in de grafische bibliotheek van Skia die in de Chrome-browser wordt gebruikt, wat kan leiden tot geheugenbeschadiging als gevolg van drijvende-kommafouten in sommige geometrische transformaties;
- Beste kwetsbaarheid voor misbruik van bevoegdheden. De overwinning werd toegekend voor identificatie in de iOS-kernel, die kan worden uitgebuit via ipc_voucher, toegankelijk via de Safari-browser.
Voor de prijs waren tevens genomineerd:
- in Windows, waardoor u volledige controle over het systeem kunt krijgen via manipulaties met de functie CreateWindowEx (win32k.sys). Het probleem werd geïdentificeerd tijdens de analyse van malware die misbruik maakte van de kwetsbaarheid voordat deze werd verholpen;
- in runc en LXC, wat gevolgen heeft voor Docker en andere containerisolatiesystemen, waardoor een geïsoleerde container bestuurd door een aanvaller het uitvoerbare bestand van runc kan wijzigen en rootrechten kan verkrijgen aan de kant van het hostsysteem;
- in iOS (CFPrefsDaemon), waarmee u isolatiemodi kunt omzeilen en code met rootrechten kunt uitvoeren;
- in de editie van de Linux TCP-stack die in Android wordt gebruikt, waardoor een lokale gebruiker zijn rechten op het apparaat kan verhogen;
- in systemd-journald, waarmee je rootrechten kunt verkrijgen;
- in het hulpprogramma tmpreaper voor het opschonen van /tmp, waarmee u uw bestand in elk deel van het bestandssysteem kunt opslaan;
- Beste cryptografische aanval. Toegekend voor het identificeren van de belangrijkste hiaten in echte systemen, protocollen en encryptie-algoritmen. De prijs werd uitgereikt voor het identificeren in WPA3 draadloze netwerkbeveiligingstechnologie en EAP-pwd, waarmee u het verbindingswachtwoord opnieuw kunt maken en toegang kunt krijgen tot het draadloze netwerk zonder het wachtwoord te kennen.
Andere kandidaten voor de prijs waren:
- aanvallen op PGP- en S/MIME-encryptie in e-mailclients;
- cold boot-methode om toegang te krijgen tot de inhoud van gecodeerde Bitlocker-partities;
- in OpenSSL, waarmee u de situaties van het ontvangen van onjuiste opvulling en onjuiste MAC kunt scheiden. Het probleem wordt veroorzaakt door een onjuiste verwerking van nul bytes in het opvulorakel;
- met identiteitskaarten die in Duitsland worden gebruikt met behulp van SAML;
- met de entropie van willekeurige getallen bij de implementatie van ondersteuning voor U2F-tokens in ChromeOS;
- in Monocypher, waardoor nul EdDSA-handtekeningen als correct werden herkend.
- Het meest innovatieve onderzoek ooit. De prijs werd toegekend aan de ontwikkelaar van de technologie , dat AVX-512-vectorinstructies gebruikt om de programma-uitvoering te emuleren, waardoor een aanzienlijke toename van de fuzzing-testsnelheid mogelijk is (tot 40-120 miljard instructies per seconde). Met deze techniek kan elke CPU-kern 8 64-bits of 16 32-bits virtuele machines parallel uitvoeren met instructies voor het fuzzing-testen van de applicatie.
Voor de prijs kwamen in aanmerking:
- in Power Query-technologie van MS Excel, waarmee u de uitvoering van code kunt organiseren en methoden voor applicatie-isolatie kunt omzeilen bij het openen van speciaal ontworpen spreadsheets;
- het misleiden van de automatische piloot van Tesla-auto's om het rijden op de tegenligger te provoceren;
- reverse engineering van ASICS-chip Siemens S7-1200;
- - techniek voor het volgen van vingerbewegingen om de ontgrendelingscode van de telefoon te bepalen, gebaseerd op het principe van sonarwerking - de bovenste en onderste luidsprekers van de smartphone genereren onhoorbare trillingen, en de ingebouwde microfoons pikken ze op om de aanwezigheid van trillingen te analyseren die worden gereflecteerd door de smartphone hand;
- de Ghidra-toolkit voor reverse engineering van de NSA;
- — een techniek voor het bepalen van het gebruik van code voor identieke functies in verschillende uitvoerbare bestanden, gebaseerd op de analyse van binaire samenstellingen;
- een methode om het Intel Boot Guard-mechanisme te omzeilen om gewijzigde UEFI-firmware te laden zonder verificatie van digitale handtekeningen.
- De meest flauwe reactie van een verkoper (Lastste reactie van leverancier). Nominatie voor de meest inadequate reactie op een bericht over een kwetsbaarheid in uw eigen product. De winnaars zijn de ontwikkelaars van de BitFi-cryptoportemonnee, die schreeuwen over de ultraveiligheid van hun product, wat in werkelijkheid denkbeeldig bleek te zijn, onderzoekers lastigvallen die kwetsbaarheden identificeren en de beloofde bonussen niet betalen voor het identificeren van problemen;
Onder de aanvragers van de prijs werden ook overwogen:
- Een beveiligingsonderzoeker beschuldigde de directeur van Atrient ervan hem aan te vallen om hem te dwingen een rapport over een door hem geïdentificeerde kwetsbaarheid te verwijderen, maar de directeur ontkent het incident en bewakingscamera's hebben de aanval niet vastgelegd;
- Zoom vertraagde oplossing van kritiek probleem in zijn conferentiesysteem en corrigeerde het probleem pas nadat het openbaar werd gemaakt. Door het beveiligingslek kon een externe aanvaller gegevens verkrijgen van de webcamera's van macOS-gebruikers bij het openen van een speciaal ontworpen pagina in de browser (Zoom lanceerde een http-server aan de clientzijde die opdrachten ontving van de lokale applicatie).
- Het nalaten van correctie gedurende meer dan 10 jaar met cryptografische sleutelservers van OpenPGP, daarbij verwijzend naar het feit dat de code in een specifieke OCaml-taal is geschreven en zonder onderhouder blijft.
De meest gehypte aankondiging van kwetsbaarheden tot nu toe. Toegekend voor de meest zielige en grootschalige berichtgeving over het probleem op internet en de media, vooral als de kwetsbaarheid in de praktijk uiteindelijk niet te exploiteren blijkt. De prijs werd toegekend aan Bloomberg voor over de identificatie van spionagechips in Super Micro-borden, die niet werd bevestigd, en de bron absoluut aangaf .
Vermeld in de nominatie:
- Kwetsbaarheid in libssh, welke applicaties voor één server (libssh wordt bijna nooit gebruikt voor servers), maar werd door de NCC Group gepresenteerd als een kwetsbaarheid waarmee aanvallen op elke OpenSSH-server mogelijk zijn.
- Aanval met behulp van DICOM-afbeeldingen. Het punt is dat u een uitvoerbaar bestand voor Windows kunt voorbereiden dat eruitziet als een geldig DICOM-image. Dit bestand kan op het medische apparaat worden gedownload en uitgevoerd.
- Kwetsbaarheid , waarmee u het veilige opstartmechanisme op Cisco-apparaten kunt omzeilen. De kwetsbaarheid wordt geclassificeerd als een overdreven probleem omdat er root-rechten voor nodig zijn om aan te vallen, maar als de aanvaller al root-toegang heeft kunnen krijgen, over welke beveiliging kunnen we dan praten? De kwetsbaarheid won ook in de categorie van de meest onderschatte problemen, omdat je hiermee een permanente achterdeur in Flash kunt introduceren;
- Grootste mislukking (Meest epische FOUT). De overwinning werd toegekend aan Bloomberg vanwege een reeks sensationele artikelen met luide krantenkoppen maar verzonnen feiten, onderdrukking van bronnen, verval in complottheorieën, gebruik van termen als ‘cyberwapens’ en onaanvaardbare generalisaties. Andere genomineerden zijn onder meer:
- Shadowhammer-aanval op Asus-firmware-updateservice;
- Het hacken van een BitFi-kluis die wordt geadverteerd als ‘niet-hackbaar’;
- Lekken van persoonlijke gegevens en toegang tot Facebook.
Bron: opennet.ru