ProHoster > Blog > internetové správy > Pwnie Awards 2019: najvýznamnejšie zraniteľnosti a zlyhania zabezpečenia

Pwnie Awards 2019: najvýznamnejšie zraniteľnosti a zlyhania zabezpečenia

Na konferencii Black Hat USA v Las Vegas uskutočnilo sa odovzdávanie cien Ceny Pwnie 2019, ktorý poukazuje na najvýznamnejšie slabiny a absurdné zlyhania v oblasti počítačovej bezpečnosti. Ceny Pwnie sa považujú za ekvivalent Oscarov a Zlatých malín v oblasti počítačovej bezpečnosti a konajú sa každoročne od roku 2007.

Hlavné víťazov и nominácií:

  • Najlepšia chyba servera. Udeľuje sa za identifikáciu a využitie technicky najzložitejšej a najzaujímavejšej chyby v sieťovej službe. Víťazmi sa stali výskumníci odhalené zraniteľnosť poskytovateľa VPN Pulse Secure, ktorého službu VPN využívajú Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, americké námorníctvo, Ministerstvo vnútornej bezpečnosti USA (DHS) a pravdepodobne polovica spoločnosti zo zoznamu Fortune 500. Výskumníci našli zadné vrátka, ktoré umožňujú neoverenému útočníkovi zmeniť heslo akéhokoľvek používateľa. Bola preukázaná možnosť využitia problému na získanie prístupu root k serveru VPN, na ktorom je otvorený iba port HTTPS;

    Medzi kandidátmi, ktorí nezískali cenu, možno uviesť:

    • Prevádzkované v štádiu pred autentifikáciou zraniteľnosť v systéme kontinuálnej integrácie Jenkins, ktorý vám umožňuje spúšťať kód na serveri. Zraniteľnosť je aktívne využívaná robotmi na organizovanie ťažby kryptomien na serveroch;
    • Kritické zraniteľnosť na poštovom serveri Exim, ktorý vám umožňuje spúšťať kód na serveri s právami root;
    • Zraniteľnosť v P2P IP kamerách Xiongmai XMeye, čo vám umožní prevziať kontrolu nad zariadením. Kamery boli dodávané s technickým heslom a pri aktualizácii firmvéru nepoužívali overenie digitálneho podpisu;
    • Kritické zraniteľnosť pri implementácii protokolu RDP v systéme Windows, ktorý vám umožňuje vzdialene spúšťať váš kód;
    • Zraniteľnosť vo WordPress, spojené s načítaním PHP kódu pod rúškom obrázka. Problém vám umožňuje spustiť ľubovoľný kód na serveri s oprávneniami autora publikácií (Autor) na stránke;
  • Najlepšia chyba klientskeho softvéru. Víťazom sa stal ľahko použiteľný zraniteľnosť v systéme skupinového volania Apple FaceTime, čo umožňuje iniciátorovi skupinového hovoru vynútiť prijatie hovoru volanou stranou (napríklad na počúvanie a šmírovanie).

    Na cenu boli nominovaní aj:

    • Zraniteľnosť v WhatsApp, ktorý vám umožňuje spustiť váš kód odoslaním špeciálne navrhnutého hlasového hovoru;
    • Zraniteľnosť v grafickej knižnici Skia používanej v prehliadači Chrome, čo môže viesť k poškodeniu pamäte v dôsledku chýb s pohyblivou rádovou čiarkou v niektorých geometrických transformáciách;
  • Najlepšie zvýšenie zraniteľnosti privilégií. Víťazstvo bolo udelené za identifikáciu zraniteľnosti v jadre iOS, ktorý je možné využiť cez ipc_voucher, prístupný cez prehliadač Safari.

    Na cenu boli nominovaní aj:

    • Zraniteľnosť v systéme Windows, čo vám umožní získať plnú kontrolu nad systémom pomocou manipulácií s funkciou CreateWindowEx (win32k.sys). Problém bol identifikovaný počas analýzy malvéru, ktorý zneužil túto zraniteľnosť pred jej odstránením;
    • Zraniteľnosť v runc a LXC, ovplyvňujúce Docker a iné systémy na izoláciu kontajnerov, umožňujúce izolovanému kontajneru ovládanému útočníkom zmeniť spustiteľný súbor runc a získať oprávnenia root na strane hostiteľského systému;
    • Zraniteľnosť v systéme iOS (CFPrefsDaemon), ktorý vám umožňuje obísť režimy izolácie a spustiť kód s právami root;
    • Zraniteľnosť vo vydaní linuxového TCP stacku používaného v systéme Android, ktorý umožňuje miestnemu používateľovi zvýšiť svoje privilégiá na zariadení;
    • Zraniteľnosť v systemd-journald, ktorý vám umožňuje získať práva root;
    • Zraniteľnosť v obslužnom programe tmpreaper na čistenie /tmp, ktorý vám umožňuje uložiť súbor v ľubovoľnej časti súborového systému;
  • Najlepší kryptografický útok. Udeľuje sa za identifikáciu najvýznamnejších medzier v reálnych systémoch, protokoloch a šifrovacích algoritmoch. Cena bola udelená za identifikáciu zraniteľnosti v technológii zabezpečenia bezdrôtovej siete WPA3 a EAP-pwd, ktorá vám umožňuje znovu vytvoriť heslo pripojenia a získať prístup k bezdrôtovej sieti bez znalosti hesla.

    Ďalšími kandidátmi na ocenenie boli:

    • metóda útoky na PGP a S/MIME šifrovanie v emailových klientoch;
    • Aplikácia metóda studeného spustenia na získanie prístupu k obsahu šifrovaných oddielov Bitlocker;
    • Zraniteľnosť v OpenSSL, čo umožňuje oddeliť situácie prijímania nesprávnej výplne a nesprávnej MAC. Problém je spôsobený nesprávnym spracovaním nula bajtov v padd oracle;
    • Problémy s ID kartami používanými v Nemecku pomocou SAML;
    • problém s entropiou náhodných čísel pri implementácii podpory pre tokeny U2F v systéme ChromeOS;
    • Zraniteľnosť v Monocypher, vďaka čomu boli nulové podpisy EdDSA uznané ako správne.
  • Najinovatívnejší výskum vôbec. Cena bola udelená vývojárovi technológie Vektorizovaná emulácia, ktorý používa vektorové inštrukcie AVX-512 na emuláciu vykonávania programu, čo umožňuje výrazné zvýšenie rýchlosti testovania fuzzingu (až 40-120 miliárd inštrukcií za sekundu). Táto technika umožňuje každému jadru CPU spúšťať 8 64-bitových alebo 16 32-bitových virtuálnych strojov paralelne s inštrukciami na fuzzing testovanie aplikácie.

    Na ocenenie mali nárok:

    • Zraniteľnosť v technológii Power Query z MS Excel, ktorá vám umožňuje organizovať vykonávanie kódu a obísť metódy izolácie aplikácií pri otváraní špeciálne navrhnutých tabuliek;
    • metóda klamanie autopilota áut Tesla s cieľom vyprovokovať jazdu do protismerného pruhu;
    • Práca reverzné inžinierstvo čipu ASICS Siemens S7-1200;
    • SonarSnoop - technika sledovania pohybu prstov na určenie kódu odomknutia telefónu, založená na princípe fungovania sonaru - horné a spodné reproduktory smartfónu generujú nepočuteľné vibrácie a vstavané mikrofóny ich zachytávajú, aby analyzovali prítomnosť vibrácií odrazených od ruka;
    • dizajn súbor nástrojov reverzného inžinierstva NSA Ghidra;
    • SAFE — technika na určenie použitia kódu pre identické funkcie v niekoľkých spustiteľných súboroch na základe analýzy binárnych zostáv;
    • tvorba metóda na obídenie mechanizmu Intel Boot Guard na načítanie upraveného firmvéru UEFI bez overenia digitálneho podpisu.
  • Najslabšia reakcia predajcu (Najnižšia odpoveď dodávateľa). Nominácia za najnevhodnejšiu odpoveď na správu o zraniteľnosti vášho vlastného produktu. Víťazmi sú vývojári kryptopeňaženky BitFi, ktorí kričia o ultrabezpečnosti svojho produktu, ktorý sa v skutočnosti ukázal ako imaginárny, obťažujú výskumníkov, ktorí identifikujú zraniteľné miesta, a nevyplácajú sľúbené bonusy za identifikáciu problémov;

    Medzi uchádzačmi o ocenenie sa považovali aj:

    • Bezpečnostný výskumník obvinil riaditeľa spoločnosti Atrient, že na neho zaútočil, aby ho prinútil odstrániť správu o zraniteľnosti, ktorú identifikoval, ale riaditeľ incident popiera a monitorovacie kamery útok nezaznamenali;
    • Priblíženie oneskorilo opravu kritického problému zraniteľnosti vo svojom konferenčnom systéme a problém napravila až po zverejnení. Zraniteľnosť umožnila externému útočníkovi získať údaje z webových kamier používateľov macOS pri otvorení špeciálne navrhnutej stránky v prehliadači (Zoom spustil http server na strane klienta, ktorý prijímal príkazy z lokálnej aplikácie).
    • Nenapravenie viac ako 10 rokov problém so servermi s kryptografickými kľúčmi OpenPGP s odvolaním sa na skutočnosť, že kód je napísaný v špecifickom jazyku OCaml a zostáva bez správcu.

    Zatiaľ najviac medializované oznámenie o zraniteľnosti. Udeľuje sa za najžalostnejšie a najrozsiahlejšie pokrytie problému na internete a v médiách, najmä ak sa nakoniec ukáže, že zraniteľnosť je v praxi nevyužiteľná. Cena bola udelená agentúre Bloomberg za vyhlásenie o identifikácii špionážnych čipov v doskách Super Micro, čo sa nepotvrdilo a zdroj absolútne uviedol ďalšie informácie.

    V nominácii uvedené:

    • Zraniteľnosť v libssh, ktorá dotknutý aplikácie pre jeden server (libssh sa takmer nikdy nepoužíva pre servery), ale skupina NCC ho prezentovala ako zraniteľnosť, ktorá umožňuje útok na akýkoľvek server OpenSSH.
    • Útok pomocou obrázkov DICOM. Ide o to, že si môžete pripraviť spustiteľný súbor pre Windows, ktorý bude vyzerať ako platný obraz DICOM. Tento súbor je možné stiahnuť do lekárskeho zariadenia a spustiť.
    • Zraniteľnosť Thrangrycat, ktorý umožňuje obísť mechanizmus bezpečného spúšťania na zariadeniach Cisco. Zraniteľnosť je klasifikovaná ako prehnaný problém, pretože na útok vyžaduje práva root, ale ak už útočník dokázal získať prístup root, o akej bezpečnosti môžeme hovoriť. Zraniteľnosť zvíťazila aj v kategórii najviac podceňovaných problémov, keďže umožňuje zaviesť do Flasha permanentné zadné vrátka;
  • Najväčšie zlyhanie (Najepickejšie FAIL). Víťazstvo bolo udelené agentúre Bloomberg za sériu senzačných článkov s hlasnými titulkami, ale vymyslenými faktami, potláčanie zdrojov, sklon ku konšpiračným teóriám, používanie výrazov ako „kybernetické zbrane“ a neprijateľné zovšeobecňovanie. Medzi ďalších nominovaných patria:
    • Shadowhammer útok na službu aktualizácie firmvéru Asus;
    • Hacknutie trezoru BitFi inzerovaného ako „nehacknuteľný“;
    • Úniky osobných údajov a žetóny prístup na Facebook.

Zdroj: opennet.ru

Pridať komentár