Premiile Pwnie 2019: Cele mai semnificative vulnerabilități și eșecuri de securitate

La conferința Black Hat USA din Las Vegas a avut loc ceremonie de premiere Premiile Pwnie 2019, care evidențiază cele mai semnificative vulnerabilități și eșecuri absurde în domeniul securității computerelor. Premiile Pwnie sunt considerate echivalentul premiilor Oscar și Zmeura de Aur în domeniul securității computerelor și au loc anual din 2007.

Principalul câștigători и nominalizări:

• Cea mai bună eroare a serverului. Premiat pentru identificarea și exploatarea celei mai complexe și mai interesante erori din punct de vedere tehnic dintr-un serviciu de rețea. Câștigătorii au fost cercetătorii dezvăluit vulnerabilitate în furnizorul de VPN Pulse Secure, al cărui serviciu VPN este utilizat de Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, US Navy, Departamentul de Securitate Internă (DHS) al SUA și, probabil, jumătate din companii din lista Fortune 500. Cercetătorii au găsit o ușă din spate care permite unui atacator neautentificat să schimbe parola oricărui utilizator. A fost demonstrată posibilitatea exploatării problemei pentru a obține acces root la un server VPN pe care este deschis doar portul HTTPS;

  Dintre candidații care nu au primit premiul se remarcă:

  • Operat în etapa de pre-autentificare vulnerabilitate în sistemul de integrare continuă Jenkins, care vă permite să executați cod pe server. Vulnerabilitatea este folosită în mod activ de către roboți pentru a organiza minarea criptomonedei pe servere;
  • Critic vulnerabilitate în serverul de mail Exim, care vă permite să executați cod pe serverul cu drepturi root;
  • Vulnerabilități în camerele IP Xiongmai XMeye P2P, permițându-vă să preluați controlul asupra dispozitivului. Camerele au fost furnizate cu o parolă de inginerie și nu au folosit verificarea semnăturii digitale la actualizarea firmware-ului;
  • Critic vulnerabilitate în implementarea protocolului RDP în Windows, care vă permite să executați codul de la distanță;
  • Vulnerabilitate în WordPress, asociat cu încărcarea codului PHP sub masca unei imagini. Problema vă permite să executați cod arbitrar pe server, având privilegiile autorului publicațiilor (Autor) pe site;
• Cea mai bună eroare software pentru client. Câștigătorul a fost cel ușor de utilizat vulnerabilitate în sistemul de apeluri de grup Apple FaceTime, permițându-i inițiatorului unui apel de grup să forțeze ca apelul să fie acceptat de partea apelată (de exemplu, pentru ascultare și snooping).

  Au mai fost nominalizati pentru premiu:

  • Vulnerabilitate în WhatsApp, care vă permite să executați codul prin trimiterea unui apel vocal special conceput;
  • Vulnerabilitate în biblioteca grafică Skia folosită în browserul Chrome, ceea ce poate duce la coruperea memoriei din cauza erorilor în virgulă mobilă în unele transformări geometrice;
• Cel mai bun nivel de vulnerabilitate a privilegiilor. Victoria a fost acordată pentru identificare vulnerabilități în nucleul iOS, care poate fi exploatat prin ipc_voucher, accesibil prin browserul Safari.

  Au mai fost nominalizati pentru premiu:

  • Vulnerabilitate în Windows, permițându-vă să obțineți control deplin asupra sistemului prin manipulări cu funcția CreateWindowEx (win32k.sys). Problema a fost identificată în timpul analizei malware-ului care a exploatat vulnerabilitatea înainte ca aceasta să fie remediată;
  • Vulnerabilitate în runc și LXC, afectând Docker și alte sisteme de izolare a containerelor, permițând unui container izolat controlat de un atacator să schimbe fișierul executabil runc și să obțină privilegii de root pe partea sistemului gazdă;
  • Vulnerabilitate în iOS (CFPrefsDaemon), care vă permite să ocoliți modurile de izolare și să executați cod cu drepturi root;
  • Vulnerabilitate în ediția stivei Linux TCP utilizată în Android, permițând unui utilizator local să-și ridice privilegiile pe dispozitiv;
  • Vulnerabilități în systemd-journald, care vă permite să obțineți drepturi de root;
  • Vulnerabilitate în utilitarul tmpreaper pentru curățarea /tmp, care vă permite să vă salvați fișierul în orice parte a sistemului de fișiere;
• Cel mai bun atac criptografic. Acordat pentru identificarea celor mai semnificative lacune în sistemele reale, protocoalele și algoritmii de criptare. Premiul a fost acordat pentru identificare vulnerabilități în tehnologia de securitate a rețelei wireless WPA3 și EAP-pwd, care vă permite să recreați parola de conectare și să obțineți acces la rețeaua fără fir fără a cunoaște parola.

  Alți candidați la premiu au fost:

  • metodă atacuri asupra criptării PGP și S/MIME în clienții de e-mail;
  • cerere metoda de pornire la rece pentru a obține acces la conținutul partițiilor criptate Bitlocker;
  • Vulnerabilitate în OpenSSL, care vă permite să separați situațiile de primire a umplerii incorecte și MAC incorecte. Problema este cauzată de manipularea incorectă a zero octeți în padding oracle;
  • Probleme cu cărți de identitate utilizate în Germania folosind SAML;
  • problemă cu entropia numerelor aleatoare în implementarea suportului pentru jetoane U2F în ChromeOS;
  • Vulnerabilitate în Monocypher, datorită căruia semnăturile EdDSA nule au fost recunoscute drept corecte.
• Cea mai inovatoare cercetare vreodată. Premiul a fost acordat dezvoltatorului tehnologiei Emulație vectorizată, care utilizează instrucțiuni vectoriale AVX-512 pentru a emula execuția programului, permițând o creștere semnificativă a vitezei de testare a fuzzing (până la 40-120 de miliarde de instrucțiuni pe secundă). Tehnica permite fiecărui nucleu CPU să ruleze 8 mașini virtuale pe 64 de biți sau 16 pe 32 de biți în paralel cu instrucțiuni pentru testarea fuzzing a aplicației.

  Următoarele au fost eligibile pentru premiu:

  • Vulnerabilitate în tehnologia Power Query din MS Excel, care vă permite să organizați execuția codului și să ocoliți metodele de izolare a aplicațiilor atunci când deschideți foi de calcul special concepute;
  • metodă înșelarea pilotului automat al mașinilor Tesla pentru a provoca conducerea pe banda din sens opus;
  • Muncă inginerie inversă a cipului ASICS Siemens S7-1200;
  • SonarSnoop - tehnica de urmărire a mișcării degetelor pentru a determina codul de deblocare a telefonului, pe baza principiului funcționării sonarului - difuzoarele superioare și inferioare ale smartphone-ului generează vibrații inaudibile, iar microfoanele încorporate le preiau pentru a analiza prezența vibrațiilor reflectate de mână;
  • desen trusa de instrumente pentru inginerie inversă Ghidra de la NSA;
  • SAFE — o tehnică de determinare a utilizării codului pentru funcții identice în mai multe fișiere executabile pe baza analizei ansamblurilor binare;
  • creație o metodă de a ocoli mecanismul Intel Boot Guard pentru a încărca firmware-ul UEFI modificat fără verificarea semnăturii digitale.
• Cea mai slabă reacție a unui vânzător (Cel mai prost răspuns al furnizorului). Nominalizare pentru cel mai neadecvat răspuns la un mesaj despre o vulnerabilitate a propriului produs. Câștigătorii sunt dezvoltatorii criptomonedei BitFi, care strigă despre ultrasecuritatea produsului lor, care în realitate s-a dovedit a fi imaginar, hărțuiesc cercetătorii care identifică vulnerabilități și nu plătesc bonusurile promise pentru identificarea problemelor;

  Printre candidații la premiu au fost luate în considerare și:

  • Un cercetător în securitate l-a acuzat pe directorul Atrient că l-a atacat pentru a-l obliga să înlăture un raport privind o vulnerabilitate pe care a identificat-o, dar directorul neagă incidentul și camerele de supraveghere nu au înregistrat atacul;
  • Zoom amânat remedierea problemei critice vulnerabilități în sistemul său de conferințe și a corectat problema numai după dezvăluirea publică. Vulnerabilitatea a permis unui atacator extern să obțină date de la camerele web ale utilizatorilor macOS atunci când deschidea o pagină special concepută în browser (Zoom a lansat un server http pe partea clientului care a primit comenzi de la aplicația locală).
  • Eșecul corectării de mai mult de 10 ani problemă cu serverele de chei criptografice OpenPGP, invocând faptul că codul este scris într-un limbaj specific OCaml și rămâne fără întreținător.

  Cel mai popular anunț de vulnerabilitate de până acum. Premiat pentru cea mai jalnică și pe scară largă acoperire a problemei pe internet și mass-media, mai ales dacă vulnerabilitatea se dovedește în cele din urmă a fi neexploatabilă în practică. Premiul a fost acordat lui Bloomberg pentru cerere despre identificarea cipurilor spion în plăcile Super Micro, care nu a fost confirmată, iar sursa a indicat absolut alte informații.

  Menționați în nominalizare:

  • Vulnerabilitatea în libssh, care atins aplicații pe un singur server (libssh nu este folosit aproape niciodată pentru servere), dar a fost prezentată de Grupul NCC ca o vulnerabilitate care permite atacarea oricărui server OpenSSH.
  • Atacă folosind imagini DICOM. Ideea este că puteți pregăti un fișier executabil pentru Windows care va arăta ca o imagine DICOM validă. Acest fișier poate fi descărcat pe dispozitivul medical și executat.
  • Vulnerabilitate Thrangrycat, care vă permite să ocoliți mecanismul de pornire securizat pe dispozitivele Cisco. Vulnerabilitatea este clasificată ca o problemă exagerată, deoarece necesită drepturi de root pentru a ataca, dar dacă atacatorul a reușit deja să obțină acces root, atunci despre ce securitate putem vorbi. Vulnerabilitatea a câștigat și în categoria problemelor cele mai subestimate, deoarece vă permite să introduceți o ușă permanentă în Flash;
• Cel mai mare eșec (Cel mai epic FAIL). Victoria a fost acordată lui Bloomberg pentru o serie de articole senzaționale cu titluri zgomotoase, dar fapte inventate, suprimarea surselor, coborârea în teorii ale conspirației, utilizarea unor termeni precum „arme cibernetice” și generalizări inacceptabile. Alți nominalizați includ:
  • Atacul Shadowhammer asupra serviciului de actualizare a firmware-ului Asus;
  • Hackerea unui seif BitFi anunțat ca „de nepirat”;
  • Scurgeri de date cu caracter personal și jetoane acces la Facebook.

Sursa: opennet.ru