ProHoster > Blog > notícias da internet > Pwnie Awards 2019: Vulnerabilidades e falhas de segurança mais significativas

Pwnie Awards 2019: Vulnerabilidades e falhas de segurança mais significativas

Na conferência Black Hat USA em Las Vegas ocorreu cerimônia de premiação Prêmios Pwnie 2019, que destaca as vulnerabilidades mais significativas e falhas absurdas no domínio da segurança informática. Os Pwnie Awards são considerados equivalentes ao Oscar e às Framboesas de Ouro na área de segurança informática e são realizados anualmente desde 2007.

O principal Vencedores и indicações:

  • Melhor bug do servidor. Concedido por identificar e explorar o bug tecnicamente mais complexo e interessante em um serviço de rede. Os vencedores foram os pesquisadores revelado vulnerabilidade no provedor VPN Pulse Secure, cujo serviço VPN é usado pelo Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, a Marinha dos EUA, o Departamento de Segurança Interna dos EUA (DHS) e provavelmente metade do empresas da lista Fortune 500. Pesquisadores encontraram um backdoor que permite que um invasor não autenticado altere a senha de qualquer usuário. Foi demonstrada a possibilidade de explorar o problema para obter acesso root a um servidor VPN no qual apenas a porta HTTPS está aberta;

    Entre os candidatos que não receberam o prêmio, destacam-se:

    • Operado na fase de pré-autenticação vulnerabilidade no sistema de integração contínua Jenkins, que permite executar código no servidor. A vulnerabilidade é usada ativamente por bots para organizar a mineração de criptomoedas em servidores;
    • Crítico vulnerabilidade no servidor de correio Exim, que permite executar código no servidor com direitos de root;
    • Vulnerabilidades em câmeras IP Xiongmai XMeye P2P, permitindo que você assuma o controle do dispositivo. As câmeras foram fornecidas com senha de engenharia e não utilizaram verificação de assinatura digital na atualização do firmware;
    • Crítico vulnerabilidade na implementação do protocolo RDP no Windows, que permite executar seu código remotamente;
    • Vulnerabilidade no WordPress, associado ao carregamento de código PHP sob o disfarce de uma imagem. O problema permite executar código arbitrário no servidor, tendo privilégios de autor das publicações (Autor) no site;
  • Melhor bug de software cliente. O vencedor foi o fácil de usar vulnerabilidade no sistema de chamadas em grupo Apple FaceTime, permitindo que o iniciador de uma chamada em grupo force a aceitação da chamada pela parte chamada (por exemplo, para ouvir e bisbilhotar).

    Também foram indicados ao prêmio:

    • Vulnerabilidade no WhatsApp, que permite executar seu código enviando uma chamada de voz especialmente projetada;
    • Vulnerabilidade na biblioteca gráfica Skia usada no navegador Chrome, que pode causar corrupção de memória devido a erros de ponto flutuante em algumas transformações geométricas;
  • Melhor vulnerabilidade de elevação de privilégio. A vitória foi concedida por identificar vulnerabilidades no kernel do iOS, que pode ser explorado via ipc_voucher, acessível através do navegador Safari.

    Também foram indicados ao prêmio:

    • Vulnerabilidade no Windows, permitindo obter controle total sobre o sistema por meio de manipulações com a função CreateWindowEx (win32k.sys). O problema foi identificado durante a análise do malware que explorou a vulnerabilidade antes de ela ser corrigida;
    • Vulnerabilidade em runc e LXC, afetando o Docker e outros sistemas de isolamento de contêineres, permitindo que um contêiner isolado controlado por um invasor altere o arquivo executável runc e obtenha privilégios de root no lado do sistema host;
    • Vulnerabilidade no iOS (CFPrefsDaemon), que permite ignorar os modos de isolamento e executar código com direitos de root;
    • Vulnerabilidade na edição da pilha TCP do Linux usada no Android, permitindo que um usuário local eleve seus privilégios no dispositivo;
    • Vulnerabilidades no systemd-journald, que permite obter direitos de root;
    • Vulnerabilidade no utilitário tmpreaper para limpeza /tmp, que permite salvar seu arquivo em qualquer parte do sistema de arquivos;
  • Melhor ataque criptográfico. Premiado por identificar as lacunas mais significativas em sistemas, protocolos e algoritmos de criptografia reais. O prêmio foi concedido pela identificação vulnerabilidades na tecnologia de segurança de rede sem fio WPA3 e EAP-pwd, que permite recriar a senha de conexão e obter acesso à rede sem fio sem saber a senha.

    Outros candidatos ao prêmio foram:

    • método ataques à criptografia PGP e S/MIME em clientes de e-mail;
    • Aplicação método de inicialização a frio para obter acesso ao conteúdo de partições criptografadas do Bitlocker;
    • Vulnerabilidade em OpenSSL, que permite separar as situações de recebimento de preenchimento incorreto e MAC incorreto. O problema é causado pelo tratamento incorreto de zero bytes no preenchimento do Oracle;
    • Problemas com cartões de identificação usados ​​na Alemanha usando SAML;
    • problema com a entropia de números aleatórios na implementação do suporte a tokens U2F no ChromeOS;
    • Vulnerabilidade no Monocypher, devido ao qual assinaturas EdDSA nulas foram reconhecidas como corretas.
  • A pesquisa mais inovadora de todos os tempos. O prêmio foi concedido ao desenvolvedor da tecnologia Emulação vetorizada, que usa instruções vetoriais AVX-512 para emular a execução do programa, permitindo um aumento significativo na velocidade dos testes de difusão (até 40-120 bilhões de instruções por segundo). A técnica permite que cada núcleo da CPU execute 8 máquinas virtuais de 64 bits ou 16 máquinas virtuais de 32 bits em paralelo com instruções para testes de difusão do aplicativo.

    Foram elegíveis para o prêmio:

    • Vulnerabilidade na tecnologia Power Query do MS Excel, que permite organizar a execução de código e contornar métodos de isolamento de aplicativos ao abrir planilhas especialmente projetadas;
    • método enganar o piloto automático dos carros Tesla para provocar a entrada na pista contrária;
    • Работа engenharia reversa do chip ASICS Siemens S7-1200;
    • SonarSnoop - técnica de rastreamento do movimento dos dedos para determinar o código de desbloqueio do telefone, com base no princípio de operação do sonar - os alto-falantes superiores e inferiores do smartphone geram vibrações inaudíveis e os microfones integrados os captam para analisar a presença de vibrações refletidas no mão;
    • Desenvolvimento o kit de ferramentas de engenharia reversa Ghidra da NSA;
    • SAFE — uma técnica para determinar o uso de código para funções idênticas em vários arquivos executáveis ​​com base na análise de assemblies binários;
    • criação um método para ignorar o mecanismo Intel Boot Guard para carregar firmware UEFI modificado sem verificação de assinatura digital.
  • A reação mais esfarrapada de um fornecedor (Resposta mais fraca do fornecedor). Nomeação para a resposta mais inadequada a uma mensagem sobre uma vulnerabilidade em seu próprio produto. Os vencedores são os desenvolvedores da carteira criptografada BitFi, que gritam sobre a ultra-segurança de seu produto, que na verdade se revelou imaginário, assediam pesquisadores que identificam vulnerabilidades e não pagam os bônus prometidos pela identificação de problemas;

    Entre os candidatos ao prêmio também foram considerados:

    • Um pesquisador de segurança acusou o diretor da Atrient de atacá-lo para forçá-lo a retirar um relatório sobre uma vulnerabilidade que identificou, mas o diretor nega o incidente e as câmeras de vigilância não registraram o ataque;
    • Zoom atrasou a correção de problema crítico vulnerabilidades em seu sistema de conferência e corrigiu o problema somente após divulgação pública. A vulnerabilidade permitiu que um invasor externo obtivesse dados das câmeras web de usuários do macOS ao abrir uma página especialmente projetada no navegador (o Zoom lançou um servidor http no lado do cliente que recebia comandos do aplicativo local).
    • Falha na correção por mais de 10 anos problema com servidores de chaves criptográficas OpenPGP, citando o fato de que o código é escrito em uma linguagem OCaml específica e permanece sem mantenedor.

    O anúncio de vulnerabilidade mais badalado até agora. Premiado pela cobertura mais patética e em larga escala do problema na Internet e na mídia, especialmente se a vulnerabilidade acabar se revelando inexplorável na prática. O prêmio foi concedido à Bloomberg por declaração sobre a identificação de chips espiões em placas Super Micro, que não foi confirmada, e a fonte indicou absolutamente outra informação.

    Mencionado na nomeação:

    • Vulnerabilidade no libssh, que tocado aplicações de servidor único (libssh quase nunca é usado para servidores), mas foi apresentado pelo Grupo NCC como uma vulnerabilidade que permite atacar qualquer servidor OpenSSH.
    • Ataque usando imagens DICOM. A questão é que você pode preparar um arquivo executável para Windows que se pareça com uma imagem DICOM válida. Este arquivo pode ser baixado para o dispositivo médico e executado.
    • Vulnerabilidade Thrangrycat, que permite ignorar o mecanismo de inicialização segura em dispositivos Cisco. A vulnerabilidade é classificada como um problema exagerado porque requer direitos de root para atacar, mas se o invasor já conseguiu obter acesso root, então de que segurança podemos falar. A vulnerabilidade também venceu na categoria dos problemas mais subestimados, pois permite introduzir um backdoor permanente no Flash;
  • Maior falha (FALHA mais épica). A vitória foi atribuída a Bloomberg por uma série de artigos sensacionais com manchetes espalhafatosas mas factos inventados, supressão de fontes, descida a teorias da conspiração, utilização de termos como “armas cibernéticas” e generalizações inaceitáveis. Outros indicados incluem:
    • Ataque Shadowhammer ao serviço de atualização de firmware da Asus;
    • Hackear um cofre BitFi anunciado como “inquebrável”;
    • Vazamentos de dados pessoais e tokens acesso ao Facebook.

Fonte: opennet.ru

Adicionar um comentário