ProHoster > Log > Internett-nyheter > Pwnie Awards 2019: Mest betydelige sikkerhetssårbarheter og feil

Pwnie Awards 2019: Mest betydelige sikkerhetssårbarheter og feil

På Black Hat USA-konferansen i Las Vegas fant sted prisutdeling Pwnie Awards 2019, som fremhever de viktigste sårbarhetene og absurde feilene innen datasikkerhet. Pwnie Awards regnes som ekvivalenten til Oscars og Golden Raspberries innen datasikkerhet og har blitt arrangert årlig siden 2007.

Den viktigste vinnere и nominasjoner:

  • Beste serverfeil. Tildelt for å identifisere og utnytte den mest teknisk komplekse og interessante feilen i en nettverkstjeneste. Vinnerne var forskerne avslørt sårbarhet i VPN-leverandøren Pulse Secure, hvis VPN-tjeneste brukes av Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, US Navy, US Department of Homeland Security (DHS) og sannsynligvis halvparten av selskaper fra Fortune 500-listen. Forskere har funnet en bakdør som lar en uautentisert angriper endre passordet til enhver bruker. Muligheten for å utnytte problemet til å få root-tilgang til en VPN-server hvor kun HTTPS-porten er åpen er demonstrert;

    Blant kandidatene som ikke mottok prisen, kan følgende noteres:

    • Operert i pre-autentiseringsstadiet sårbarhet i Jenkins kontinuerlige integrasjonssystem, som lar deg kjøre kode på serveren. Sårbarheten brukes aktivt av roboter for å organisere gruvedrift av kryptovaluta på servere;
    • Kritisk sårbarhet i Exim-postserveren, som lar deg kjøre kode på serveren med rotrettigheter;
    • Sårbarheter i Xiongmai XMeye P2P IP-kameraer, slik at du kan ta kontroll over enheten. Kameraene ble levert med et ingeniørpassord og brukte ikke digital signaturverifisering ved oppdatering av fastvaren;
    • Kritisk sårbarhet i implementeringen av RDP-protokollen i Windows, som lar deg eksternt kjøre koden din;
    • Sårbarhet i WordPress, assosiert med lasting av PHP-kode under dekke av et bilde. Problemet lar deg kjøre vilkårlig kode på serveren, med privilegiene til forfatteren av publikasjoner (Forfatter) på nettstedet;
  • Beste klientprogramvarefeil. Vinneren var den enkle å bruke sårbarhet i Apple FaceTime-gruppeanropssystemet, slik at initiativtakeren av en gruppesamtale kan tvinge anropet til å bli akseptert av den oppringte parten (for eksempel for å lytte og snoke).

    Også nominert til prisen var:

    • Sårbarhet i WhatsApp, som lar deg utføre koden din ved å sende et spesialdesignet taleanrop;
    • Sårbarhet i Skia grafikkbibliotek som brukes i Chrome-nettleseren, noe som kan føre til minnekorrupsjon på grunn av flytepunktfeil i enkelte geometriske transformasjoner;
  • Sårbarhet for beste rettighetsutvidelse. Seieren ble tildelt for å identifisere sårbarheter i iOS-kjernen, som kan utnyttes via ipc_voucher, tilgjengelig via Safari-nettleseren.

    Også nominert til prisen var:

    • Sårbarhet i Windows, slik at du kan få full kontroll over systemet gjennom manipulasjoner med CreateWindowEx (win32k.sys) funksjonen. Problemet ble identifisert under analysen av skadelig programvare som utnyttet sårbarheten før den ble fikset;
    • Sårbarhet i runc og LXC, som påvirker Docker og andre containerisolasjonssystemer, og lar en isolert container kontrollert av en angriper endre den kjørbare runc-filen og få root-privilegier på vertssystemsiden;
    • Sårbarhet i iOS (CFPrefsDaemon), som lar deg omgå isolasjonsmoduser og kjøre kode med rotrettigheter;
    • Sårbarhet i utgaven av Linux TCP-stakken brukt i Android, slik at en lokal bruker kan heve privilegiene sine på enheten;
    • Sårbarheter i systemd-journald, som lar deg få root-rettigheter;
    • Sårbarhet i tmpreaper-verktøyet for rengjøring /tmp, som lar deg lagre filen din i hvilken som helst del av filsystemet;
  • Beste kryptografiske angrep. Tildelt for å identifisere de viktigste hullene i virkelige systemer, protokoller og krypteringsalgoritmer. Prisen ble delt ut for å identifisere sårbarheter i WPA3 trådløs nettverkssikkerhetsteknologi og EAP-pwd, som lar deg gjenskape tilkoblingspassordet og få tilgang til det trådløse nettverket uten å vite passordet.

    Andre kandidater til prisen var:

    • metode angrep på PGP- og S/MIME-kryptering i e-postklienter;
    • Søknad kald oppstartsmetode for å få tilgang til innholdet i krypterte Bitlocker-partisjoner;
    • Sårbarhet i OpenSSL, som lar deg skille situasjonene med å motta feil polstring og feil MAC. Problemet er forårsaket av feil håndtering av null byte i padding oracle;
    • Problemer med ID-kort brukt i Tyskland ved bruk av SAML;
    • problem med entropien av tilfeldige tall i implementeringen av støtte for U2F-tokens i ChromeOS;
    • Sårbarhet i Monocypher, på grunn av hvilke null EdDSA-signaturer ble anerkjent som korrekte.
  • Den mest innovative forskningen noensinne. Prisen ble tildelt utvikleren av teknologien Vektorisert emulering, som bruker AVX-512 vektorinstruksjoner for å emulere programkjøring, noe som gir mulighet for en betydelig økning i uklar testhastighet (opptil 40-120 milliarder instruksjoner per sekund). Teknikken lar hver CPU-kjerne kjøre 8 64-biters eller 16 32-biters virtuelle maskiner parallelt med instruksjoner for fuzzing testing av applikasjonen.

    Følgende var kvalifisert for prisen:

    • Sårbarhet i Power Query-teknologi fra MS Excel, som lar deg organisere kodekjøring og omgå applikasjonsisoleringsmetoder når du åpner spesialdesignede regneark;
    • metode lure autopiloten til Tesla-biler for å provosere kjøring inn i møtende kjørefelt;
    • Arbeid omvendt utvikling av ASICS-brikken Siemens S7-1200;
    • SonarSnoop - fingerbevegelsessporingsteknikk for å bestemme telefonens låsekode, basert på prinsippet om sonardrift - de øvre og nedre høyttalerne på smarttelefonen genererer uhørbare vibrasjoner, og de innebygde mikrofonene fanger dem opp for å analysere tilstedeværelsen av vibrasjoner som reflekteres fra hånd;
    • utforming NSAs Ghidra reverse engineering verktøysett;
    • SAFE — en teknikk for å bestemme bruken av kode for identiske funksjoner i flere kjørbare filer basert på analyse av binære sammenstillinger;
    • opprettelse en metode for å omgå Intel Boot Guard-mekanismen for å laste modifisert UEFI-fastvare uten verifisering av digital signatur.
  • Den mest lamme reaksjonen fra en leverandør (Seneste leverandørrespons). Nominering for den mest mangelfulle responsen på en melding om en sårbarhet i ditt eget produkt. Vinnerne er utviklerne av BitFi-krypto-lommeboken, som roper om ultrasikkerheten til produktet deres, som i virkeligheten viste seg å være imaginære, trakasserer forskere som identifiserer sårbarheter, og ikke betaler de lovede bonusene for å identifisere problemer;

    Blant søkerne til prisen vurderte også:

    • En sikkerhetsforsker anklaget direktøren for Atrient for å angripe ham for å tvinge ham til å fjerne en rapport om en sårbarhet han identifiserte, men direktøren benekter hendelsen og overvåkingskameraer registrerte ikke angrepet;
    • Zoom forsinket med å fikse kritisk problem sårbarheter i sitt konferansesystem og rettet opp problemet først etter offentlig avsløring. Sårbarheten tillot en ekstern angriper å hente data fra nettkameraene til macOS-brukere når de åpnet en spesialdesignet side i nettleseren (Zoom lanserte en http-server på klientsiden som mottok kommandoer fra den lokale applikasjonen).
    • Feil å korrigere i mer enn 10 år problem med OpenPGP kryptografiske nøkkelservere, med henvisning til det faktum at koden er skrevet på et spesifikt OCaml-språk og forblir uten en vedlikeholder.

    Den mest hypede sårbarhetskunngjøringen ennå. Tildelt for den mest patetiske og storstilte dekningen av problemet på internett og media, spesielt hvis sårbarheten til slutt viser seg å være uutnyttbar i praksis. Prisen ble tildelt Bloomberg for søknad om identifisering av spionbrikker i Super Micro-kort, som ikke ble bekreftet, og kilden indikerte absolutt annen informasjon.

    Nevnt i nominasjonen:

    • Sårbarhet i libssh, som berørt enkeltserverapplikasjoner (libssh brukes nesten aldri for servere), men ble presentert av NCC Group som en sårbarhet som gjør det mulig å angripe enhver OpenSSH-server.
    • Angrip ved hjelp av DICOM-bilder. Poenget er at du kan forberede en kjørbar fil for Windows som vil se ut som et gyldig DICOM-bilde. Denne filen kan lastes ned til det medisinske utstyret og kjøres.
    • Sårbarhet Thrangrycat, som lar deg omgå den sikre oppstartsmekanismen på Cisco-enheter. Sårbarheten er klassifisert som et overdreven problem fordi det krever root-rettigheter for å angripe, men hvis angriperen allerede var i stand til å få root-tilgang, hvilken sikkerhet kan vi da snakke om. Sårbarheten vant også i kategorien de mest undervurderte problemene, da den lar deg introdusere en permanent bakdør i Flash;
  • Største fiasko (Mest episke FAIL). Seieren ble tildelt Bloomberg for en serie oppsiktsvekkende artikler med høye overskrifter, men oppdiktede fakta, undertrykkelse av kilder, nedstigning i konspirasjonsteorier, bruk av begreper som "cybervåpen" og uakseptable generaliseringer. Andre nominerte inkluderer:
    • Shadowhammer angrep på Asus firmwareoppdateringstjeneste;
    • Hacke et BitFi-hvelv annonsert som "uhackable";
    • Lekkasje av personopplysninger og tokens tilgang til Facebook.

Kilde: opennet.ru

Legg til en kommentar