ProHoster > Blog > internetne novice > Nagrade Pwnie 2019: Najpomembnejše varnostne ranljivosti in napake

Nagrade Pwnie 2019: Najpomembnejše varnostne ranljivosti in napake

Na konferenci Black Hat USA v Las Vegasu potekal podelitev nagrad Nagrade Pwnie 2019, ki izpostavlja najpomembnejše ranljivosti in absurdne napake na področju računalniške varnosti. Nagrade Pwnie veljajo za enakovredne oskarje in zlate maline na področju računalniške varnosti in potekajo vsako leto od leta 2007.

Glavni zmagovalci и nominacije:

  • Najboljša napaka strežnika. Podeljeno za prepoznavanje in izkoriščanje tehnično najbolj zapletenega in zanimivega hrošča v omrežni storitvi. Zmagovalci so bili raziskovalci razkrila ranljivost pri ponudniku VPN Pulse Secure, katerega storitev VPN uporabljajo Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, ameriška mornarica, ameriško ministrstvo za domovinsko varnost (DHS) in verjetno polovica podjetij s seznama Fortune 500. Raziskovalci so odkrili stranska vrata, ki omogočajo neavtentificiranemu napadalcu, da spremeni geslo katerega koli uporabnika. Prikazana je bila možnost izkoriščanja težave za pridobitev korenskega dostopa do strežnika VPN, na katerem so odprta samo vrata HTTPS;

    Med kandidati, ki niso prejeli nagrade, je mogoče opaziti naslednje:

    • Deluje v fazi pred avtentifikacijo ranljivost v sistemu kontinuirane integracije Jenkins, ki omogoča izvajanje kode na strežniku. Ranljivost aktivno uporabljajo roboti za organiziranje rudarjenja kriptovalut na strežnikih;
    • Kritično ranljivost v poštnem strežniku Exim, ki vam omogoča izvajanje kode na strežniku s korenskimi pravicami;
    • Ranljivosti v Xiongmai XMeye P2P IP kamerah, kar vam omogoča prevzem nadzora nad napravo. Kamere so bile opremljene z inženirskim geslom in pri posodabljanju vdelane programske opreme niso uporabljale preverjanja digitalnega podpisa;
    • Kritično ranljivost pri implementaciji protokola RDP v sistemu Windows, ki omogoča oddaljeno izvajanje vaše kode;
    • Ranljivost v WordPressu, povezano z nalaganjem kode PHP pod krinko slike. Težava vam omogoča izvajanje poljubne kode na strežniku, ki ima privilegije avtorja publikacij (Author) na spletnem mestu;
  • Najboljša napaka programske opreme odjemalca. Zmagovalec je bil enostaven za uporabo ranljivost v sistemu skupinskega klica Apple FaceTime, ki omogoča pobudniku skupinskega klica, da klicani strani prisili, da klic sprejme (na primer za poslušanje in vohljanje).

    Za nagrado so bili nominirani tudi:

    • Ranljivost v WhatsApp, ki vam omogoča, da svojo kodo izvedete s pošiljanjem posebej oblikovanega glasovnega klica;
    • Ranljivost v grafični knjižnici Skia, ki se uporablja v brskalniku Chrome, kar lahko povzroči okvaro pomnilnika zaradi napak v plavajoči vejici v nekaterih geometrijskih transformacijah;
  • Ranljivost najboljšega dviga privilegijev. Zmaga je bila podeljena za identifikacijo ranljivosti v jedru iOS, ki ga je mogoče izkoriščati prek ipc_voucherja, dostopnega prek brskalnika Safari.

    Za nagrado so bili nominirani tudi:

    • Ranljivost v sistemu Windows, kar vam omogoča popoln nadzor nad sistemom z manipulacijami s funkcijo CreateWindowEx (win32k.sys). Težava je bila ugotovljena med analizo zlonamerne programske opreme, ki je izkoriščala ranljivost, preden je bila odpravljena;
    • Ranljivost v runc in LXC, ki vpliva na Docker in druge sisteme za izolacijo vsebnikov, kar omogoča izoliranemu vsebniku, ki ga nadzoruje napadalec, da spremeni izvršljivo datoteko runc in pridobi korenske pravice na strani gostiteljskega sistema;
    • Ranljivost v iOS (CFPrefsDaemon), ki vam omogoča, da obidete izolacijske načine in izvajate kodo s korenskimi pravicami;
    • Ranljivost v izdaji sklada TCP za Linux, ki se uporablja v sistemu Android, kar omogoča lokalnemu uporabniku, da dvigne svoje privilegije v napravi;
    • Ranljivosti v systemd-journald, ki vam omogoča pridobitev korenskih pravic;
    • Ranljivost v pripomočku tmpreaper za čiščenje /tmp, ki vam omogoča, da datoteko shranite v kateri koli del datotečnega sistema;
  • Najboljši kriptografski napad. Podeljeno za prepoznavanje najpomembnejših vrzeli v resničnih sistemih, protokolih in šifrirnih algoritmih. Nagrada je bila podeljena za identifikacijo ranljivosti v varnostni tehnologiji brezžičnega omrežja WPA3 in EAP-pwd, ki omogoča ponovno ustvarjanje gesla za povezavo in dostop do brezžičnega omrežja brez poznavanja gesla.

    Drugi kandidati za nagrado so bili:

    • Metoda napadi na šifriranje PGP in S/MIME v e-poštnih odjemalcih;
    • Uporaba metoda hladnega zagona za dostop do vsebine šifriranih particij Bitlocker;
    • Ranljivost v OpenSSL, ki vam omogoča ločevanje primerov prejema nepravilnega oblazinjenja in nepravilnega MAC. Težavo povzroča nepravilno ravnanje z ničelnimi bajti v oraklu za polnjenje;
    • Težave z osebnimi izkaznicami, ki se uporabljajo v Nemčiji in uporabljajo SAML;
    • problem z entropijo naključnih števil pri implementaciji podpore za žetone U2F v sistemu ChromeOS;
    • Ranljivost v Monocypherju, zaradi česar so bili ničelni podpisi EdDSA prepoznani kot pravilni.
  • Najbolj inovativna raziskava vseh časov. Nagrado je prejel razvijalec tehnologije Vektorizirana emulacija, ki uporablja vektorska navodila AVX-512 za posnemanje izvajanja programa, kar omogoča znatno povečanje hitrosti testiranja fuzzinga (do 40–120 milijard navodil na sekundo). Tehnika omogoča vsakemu jedru procesorja, da poganja 8 64-bitnih ali 16 32-bitnih navideznih strojev vzporedno z navodili za fuzzing testiranje aplikacije.

    Do nagrade so bili upravičeni:

    • Ranljivost v tehnologiji Power Query iz MS Excela, ki vam omogoča organiziranje izvajanja kode in izogibanje metodam izolacije aplikacij pri odpiranju posebej oblikovanih preglednic;
    • Metoda zavajanje avtopilota avtomobilov Tesla, da izzovejo vožnjo na nasprotni vozni pas;
    • Delo obratni inženiring ASICS čipa Siemens S7-1200;
    • SonarSnoop - tehnika sledenja premikom prsta za določanje kode za odklepanje telefona, ki temelji na principu delovanja sonarja - zgornji in spodnji zvočnik pametnega telefona ustvarjata neslišne tresljaje, vgrajeni mikrofoni pa jih zaznajo in analizirajo prisotnost tresljajev, ki se odbijajo od roka;
    • Razvoj komplet orodij NSA za obratno inženirstvo Ghidra;
    • VAREN — tehnika za določanje uporabe kode za enake funkcije v več izvedljivih datotekah na podlagi analize binarnih sklopov;
    • ustvarjanje metoda za obhod mehanizma Intel Boot Guard za nalaganje spremenjene vdelane programske opreme UEFI brez preverjanja digitalnega podpisa.
  • Najbolj hroma reakcija prodajalca (Najslabši odgovor prodajalca). Nominacija za najbolj neustrezen odgovor na sporočilo o ranljivosti v lastnem produktu. Zmagovalci so razvijalci kripto denarnice BitFi, ki kričijo o ultravarnosti svojega produkta, ki se je v resnici izkazal za namišljenega, nadlegujejo raziskovalce, ki odkrivajo ranljivosti, in ne izplačujejo obljubljenih bonusov za odkrivanje težav;

    Med kandidati za nagrado štejejo tudi:

    • Varnostni raziskovalec je obtožil direktorja Atrienta, da ga je napadel, da bi ga prisilil, da odstrani poročilo o ranljivosti, ki jo je identificiral, vendar direktor zanika incident in nadzorne kamere niso posnele napada;
    • Zoom je odložil odpravljanje kritične težave ranljivosti v svojem konferenčnem sistemu in težavo odpravila šele po javnem razkritju. Ranljivost je zunanjemu napadalcu omogočila pridobivanje podatkov iz spletnih kamer uporabnikov macOS, ko je odprl posebej oblikovano stran v brskalniku (Zoom je na strani odjemalca zagnal strežnik http, ki je prejemal ukaze iz lokalne aplikacije).
    • Nepopravek več kot 10 let problem s strežniki kriptografskih ključev OpenPGP, pri čemer navaja dejstvo, da je koda napisana v določenem jeziku OCaml in ostane brez vzdrževalca.

    Najbolj razglašena objava ranljivosti doslej. Podeljuje se za najbolj patetično in obsežno poročanje o problemu na internetu in medijih, še posebej, če se ranljivost na koncu izkaže za neizkoriščeno v praksi. Nagrado je prejel Bloomberg za izjavo o identifikaciji vohunskih čipov v Super Micro ploščah, ki ni bila potrjena, vir pa je navedel absolutno druge informacije.

    V nominaciji omenjeni:

    • Ranljivost v libssh, ki dotaknil enostrežniške aplikacije (libssh se skoraj nikoli ne uporablja za strežnike), vendar ga je skupina NCC predstavila kot ranljivost, ki omogoča napad na kateri koli strežnik OpenSSH.
    • Napad s slikami DICOM. Bistvo je, da lahko pripravite izvršljivo datoteko za Windows, ki bo videti kot veljavna slika DICOM. To datoteko je mogoče prenesti na medicinski pripomoček in jo izvesti.
    • Ranljivost Thrangrycat, ki vam omogoča, da obidete mehanizem varnega zagona na napravah Cisco. Ranljivost je razvrščena kot prevelik problem, ker za napad zahteva korenske pravice, a če je napadalec že lahko pridobil korenski dostop, o kakšni varnosti lahko govorimo. Ranljivost je zmagala tudi v kategoriji najbolj podcenjenih težav, saj omogoča vpeljavo trajnega backdoorja v Flash;
  • Največji neuspeh (Najbolj epski FAIL). Zmago je prejel Bloomberg za serijo senzacionalnih člankov z glasnimi naslovi, a izmišljenimi dejstvi, zamolčanjem virov, spuščanjem v teorije zarote, uporabo izrazov, kot je "kiber orožje", in nesprejemljivo posploševanje. Drugi nominiranci vključujejo:
    • Napad Shadowhammer na storitev posodabljanja vdelane programske opreme Asus;
    • Vdiranje v trezor BitFi, ki je oglaševano kot "nemogoče vdreti";
    • Uhajanje osebnih podatkov in žetoni dostop do Facebooka.

Vir: opennet.ru

Dodaj komentar