ProHoster > Blog > wiadomości internetowe > Nagrody Pwnie 2019: Najbardziej znaczące luki w zabezpieczeniach i awarie

Nagrody Pwnie 2019: Najbardziej znaczące luki w zabezpieczeniach i awarie

Na konferencji Black Hat USA w Las Vegas odbyła się Ceremonia wręczenia nagród Nagrody Pwnie 2019, w którym podkreślono najważniejsze luki i absurdalne awarie w dziedzinie bezpieczeństwa komputerowego. Nagrody Pwnie uznawane są za odpowiednik Oscarów i Złotych Malin w dziedzinie bezpieczeństwa komputerowego i przyznawane są corocznie od 2007 roku.

Głównym zwycięzcy и nominacje:

  • Najlepszy błąd serwera. Nagroda za identyfikację i wykorzystanie najbardziej złożonego technicznie i interesującego błędu w usłudze sieciowej. Zwycięzcami zostali badacze ujawnił luka w zabezpieczeniach dostawcy VPN Pulse Secure, z którego usługi VPN korzystają Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, US Navy, Departament Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych (DHS) i prawdopodobnie połowa firmy z listy Fortune 500. Badacze odkryli backdoora, który pozwala nieuwierzytelnionemu atakującemu zmienić hasło dowolnego użytkownika. Pokazano możliwość wykorzystania problemu do uzyskania dostępu root do serwera VPN, na którym otwarty jest tylko port HTTPS;

    Wśród kandydatów, którzy nie otrzymali nagrody, można wymienić:

    • Obsługiwany na etapie przed uwierzytelnieniem słaby punkt w systemie ciągłej integracji Jenkins, który umożliwia wykonanie kodu na serwerze. Luka jest aktywnie wykorzystywana przez boty do organizowania wydobywania kryptowalut na serwerach;
    • Krytyczny słaby punkt na serwerze pocztowym Exim, który umożliwia wykonanie kodu na serwerze z uprawnieniami roota;
    • Luki w zabezpieczeniach w kamerach IP Xiongmai XMeye P2P, umożliwiając przejęcie kontroli nad urządzeniem. Kamery były dostarczane z hasłem inżynierskim i nie korzystały z weryfikacji podpisu cyfrowego podczas aktualizacji oprogramowania sprzętowego;
    • Krytyczny słaby punkt przy implementacji protokołu RDP w systemie Windows, który umożliwia zdalne wykonanie kodu;
    • Słaby punkt w WordPressie, związane z ładowaniem kodu PHP pod przykrywką obrazu. Problem pozwala na wykonanie dowolnego kodu na serwerze, posiadając uprawnienia autora publikacji (Autora) w serwisie;
  • Najlepszy błąd oprogramowania klienckiego. Zwycięzcą został produkt łatwy w użyciu słaby punkt w systemie połączeń grupowych Apple FaceTime, umożliwiająca inicjatorowi połączenia grupowego wymuszenie odebrania połączenia przez osobę wywoływaną (na przykład w celu podsłuchiwania i podglądania).

    Do nagrody nominowani zostali także:

    • Słaby punkt w WhatsApp, który umożliwia wykonanie Twojego kodu poprzez wysłanie specjalnie zaprojektowanego połączenia głosowego;
    • Słaby punkt w bibliotece graficznej Skia używanej w przeglądarce Chrome, co może prowadzić do uszkodzenia pamięci na skutek błędów zmiennoprzecinkowych w niektórych przekształceniach geometrycznych;
  • Najlepsza luka w zabezpieczeniach umożliwiająca podniesienie uprawnień. Zwycięstwo zostało przyznane za identyfikację luki w zabezpieczeniach w jądrze iOS, z którego można korzystać poprzez ipc_voucher, dostępny za pośrednictwem przeglądarki Safari.

    Do nagrody nominowani zostali także:

    • Słaby punkt w systemie Windows, umożliwiając uzyskanie pełnej kontroli nad systemem poprzez manipulacje funkcją CreateWindowEx (win32k.sys). Problem został zidentyfikowany podczas analizy złośliwego oprogramowania, które wykorzystywało lukę przed jej naprawieniem;
    • Słaby punkt w runc i LXC, wpływając na Docker i inne systemy izolacji kontenerów, umożliwiając izolowanemu kontenerowi kontrolowanemu przez atakującego zmianę pliku wykonywalnego runc i uzyskanie uprawnień roota po stronie systemu hosta;
    • Słaby punkt w systemie iOS (CFPrefsDaemon), który umożliwia ominięcie trybów izolacji i wykonanie kodu z uprawnieniami roota;
    • Słaby punkt w wersji stosu Linux TCP stosowanego w systemie Android, umożliwiającej lokalnemu użytkownikowi podniesienie swoich uprawnień na urządzeniu;
    • Luki w zabezpieczeniach w systemd-journald, który pozwala uzyskać prawa roota;
    • Słaby punkt w narzędziu tmpreaper do czyszczenia /tmp, które pozwala zapisać plik w dowolnej części systemu plików;
  • Najlepszy atak kryptograficzny. Nagradzany za identyfikację najistotniejszych luk w rzeczywistych systemach, protokołach i algorytmach szyfrowania. Nagroda została przyznana za identyfikację luki w zabezpieczeniach w technologii zabezpieczeń sieci bezprzewodowej WPA3 oraz EAP-pwd, która umożliwia odtworzenie hasła połączenia i uzyskanie dostępu do sieci bezprzewodowej bez znajomości hasła.

    Kolejnymi kandydatami do nagrody byli:

    • metoda ataki na szyfrowanie PGP i S/MIME w klientach pocztowych;
    • Stosowanie metoda zimnego rozruchu w celu uzyskania dostępu do zawartości zaszyfrowanych partycji Bitlocker;
    • Słaby punkt w OpenSSL, co pozwala oddzielić sytuacje otrzymania nieprawidłowego dopełnienia i nieprawidłowego MAC. Problem jest spowodowany niepoprawną obsługą bajtów zerowych w Oracle dopełniającym;
    • Problemy z dowodami osobistymi używanymi w Niemczech przy użyciu protokołu SAML;
    • problem z entropią liczb losowych w realizacji obsługi tokenów U2F w ChromeOS;
    • Słaby punkt w Monocypher, dzięki czemu zerowe podpisy EdDSA zostały uznane za prawidłowe.
  • Najbardziej innowacyjne badania w historii. Nagrodę przyznano twórcy technologii Wektorowa emulacja, który wykorzystuje instrukcje wektorowe AVX-512 do emulacji wykonywania programu, pozwalając na znaczne zwiększenie szybkości testów fuzzingowych (do 40-120 miliardów instrukcji na sekundę). Technika ta umożliwia każdemu rdzeniowi procesora uruchomienie 8 64-bitowych lub 16 32-bitowych maszyn wirtualnych równolegle z instrukcjami do fuzzingowego testowania aplikacji.

    Do nagrody kwalifikowali się:

    • Słaby punkt w technologii Power Query z MS Excel, która pozwala uporządkować wykonanie kodu i ominąć metody izolacji aplikacji podczas otwierania specjalnie zaprojektowanych arkuszy kalkulacyjnych;
    • metoda oszukiwanie autopilota samochodów Tesli w celu sprowokowania zjazdu na nadjeżdżający pas;
    • Pracować inżynieria odwrotna układu ASICS Siemens S7-1200;
    • SonarSnoop - technika śledzenia ruchu palca w celu ustalenia kodu odblokowującego telefon, oparta na zasadzie działania sonaru - górny i dolny głośnik smartfona generują niesłyszalne wibracje, a wbudowane mikrofony wychwytują je, aby przeanalizować obecność wibracji odbitych od ręka;
    • Rozwój zestaw narzędzi inżynierii odwrotnej Ghidra NSA;
    • SAFE — technika określania użycia kodu dla identycznych funkcji w kilku plikach wykonywalnych w oparciu o analizę zespołów binarnych;
    • tworzenie metoda ominięcia mechanizmu Intel Boot Guard w celu załadowania zmodyfikowanego oprogramowania sprzętowego UEFI bez weryfikacji podpisu cyfrowego.
  • Najbardziej kiepska reakcja sprzedawcy (Najgorsza odpowiedź dostawcy). Nominacja za najbardziej nieadekwatną reakcję na wiadomość o luce we własnym produkcie. Zwycięzcami są twórcy portfela kryptowalutowego BitFi, którzy krzyczą o ultrabezpieczeństwie swojego produktu, który w rzeczywistości okazał się wyimaginowany, nękają badaczy identyfikujących luki i nie płacą obiecanych premii za wykrycie problemów;

    Wśród kandydatów do nagrody brano pod uwagę także:

    • Badacz bezpieczeństwa oskarżył reżysera Atrienta o atak na niego w celu wymuszenia na nim usunięcia raportu dotyczącego zidentyfikowanej przez niego luki, jednak reżyser zaprzecza zdarzeniu, a kamery monitoringu nie zarejestrowały ataku;
    • Zoom opóźnił naprawę krytycznego problemu luki w zabezpieczeniach w swoim systemie konferencyjnym i rozwiązał problem dopiero po publicznym ujawnieniu. Luka umożliwiła zewnętrznemu atakującemu uzyskanie danych z kamer internetowych użytkowników macOS podczas otwierania specjalnie zaprojektowanej strony w przeglądarce (Zoom uruchomił po stronie klienta serwer http, który otrzymał polecenia z lokalnej aplikacji).
    • Brak korekty przez ponad 10 lat problem z serwerami kluczy kryptograficznych OpenPGP, powołując się na fakt, że kod jest napisany w określonym języku OCaml i pozostaje bez opiekuna.

    Najbardziej wyczekiwane ogłoszenie dotyczące luki w zabezpieczeniach. Nagroda za najbardziej żałosne i na szeroką skalę nagłośnienie problemu w Internecie i mediach, zwłaszcza jeśli ostatecznie luka okaże się niemożliwa do wykorzystania w praktyce. Nagrodę przyznano Bloombergowi za oświadczenie o identyfikacji chipów szpiegowskich w płytkach Super Micro, co nie zostało potwierdzone, a źródło bezwzględnie wskazało inne informacje.

    Wspomniane w nominacji:

    • Luka w libssh, który poruszył aplikacje jednoserwerowe (libssh prawie nigdy nie jest używane w przypadku serwerów), ale zostało przedstawione przez Grupę NCC jako luka umożliwiająca atak na dowolny serwer OpenSSH.
    • Atak przy użyciu obrazów DICOM. Chodzi o to, że można przygotować plik wykonywalny dla Windows, który będzie wyglądał jak prawidłowy obraz DICOM. Plik ten można pobrać na urządzenie medyczne i uruchomić.
    • Słaby punkt Thrangrycat, który pozwala ominąć mechanizm bezpiecznego rozruchu na urządzeniach Cisco. Luka jest klasyfikowana jako przesadny problem, ponieważ do ataku wymaga uprawnień roota, ale jeśli atakujący był już w stanie uzyskać dostęp do roota, to o jakim bezpieczeństwie możemy mówić. Luka zwyciężyła także w kategorii najbardziej niedocenianych problemów, gdyż pozwala na wprowadzenie stałego backdoora do Flasha;
  • Największa porażka (Najbardziej epicka porażka). Zwycięstwo przyznano Bloombergowi za serię sensacyjnych artykułów z głośnymi nagłówkami, ale zmyślonymi faktami, zatajanie źródeł, pogrążanie się w teoriach spiskowych, używanie terminów takich jak „cyberbroń” i niedopuszczalne uogólnienia. Inni nominowani to:
    • Atak Shadowhammera na usługę aktualizacji oprogramowania sprzętowego Asusa;
    • Włamanie do skarbca BitFi reklamowanego jako „nie do zhakowania”;
    • Wycieki danych osobowych i tokeny dostęp do Facebooka.

Źródło: opennet.ru

Dodaj komentarz