ProHoster > Blog > lajme në internet > Çmimet Pwnie 2019: Dobësitë dhe dështimet më të rëndësishme të sigurisë

Çmimet Pwnie 2019: Dobësitë dhe dështimet më të rëndësishme të sigurisë

Në konferencën Black Hat USA në Las Vegas Ndodhi ceremonia e ndarjes së çmimeve Çmimet Pwnie 2019, i cili nxjerr në pah dobësitë më të rëndësishme dhe dështimet absurde në fushën e sigurisë kompjuterike. Çmimet Pwnie konsiderohen si ekuivalenti i Oscars dhe Golden Raspberries në fushën e sigurisë kompjuterike dhe mbahen çdo vit që nga viti 2007.

Kryesore fituesit и nominimet:

  • Defekti më i mirë i serverit. Çmuar për identifikimin dhe shfrytëzimin e gabimeve më komplekse dhe interesante teknikisht në një shërbim rrjeti. Fituesit ishin studiuesit zbuluar dobësi në ofruesin VPN Pulse Secure, shërbimi VPN i të cilit përdoret nga Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, Marina e SHBA, Departamenti i Sigurisë Kombëtare të SHBA (DHS) dhe ndoshta gjysma e kompani nga lista e Fortune 500. Studiuesit kanë gjetur një derë të pasme që lejon një sulmues të paautentikuar të ndryshojë fjalëkalimin e çdo përdoruesi. Është demonstruar mundësia e shfrytëzimit të problemit për të fituar akses rrënjësor në një server VPN në të cilin është e hapur vetëm porta HTTPS;

    Në mesin e kandidatëve që nuk e kanë marrë çmimin, mund të vihen re:

    • Operuar në fazën e para-autentifikimit cenueshmëria në sistemin e integrimit të vazhdueshëm Jenkins, i cili ju lejon të ekzekutoni kodin në server. Dobësia përdoret në mënyrë aktive nga robotët për të organizuar minierat e kriptomonedhave në serverë;
    • Kritike cenueshmëria në serverin e postës Exim, i cili ju lejon të ekzekutoni kodin në server me të drejta rrënjësore;
    • Dobësitë në kamerat IP Xiongmai XMeye P2P, duke ju lejuar të merrni kontrollin e pajisjes. Kamerat u furnizuan me një fjalëkalim inxhinierik dhe nuk përdorën verifikimin e nënshkrimit dixhital gjatë përditësimit të firmuerit;
    • Kritike cenueshmëria në zbatimin e protokollit RDP në Windows, i cili ju lejon të ekzekutoni nga distanca kodin tuaj;
    • Prekshmëria në WordPress, i lidhur me ngarkimin e kodit PHP nën maskën e një imazhi. Problemi ju lejon të ekzekutoni kodin arbitrar në server, duke pasur privilegjet e autorit të botimeve (Autorit) në sit;
  • Gabimi më i mirë i softuerit të klientit. Fituesi ishte i lehtë për t'u përdorur cenueshmëria në sistemin e thirrjeve grupore Apple FaceTime, duke i lejuar iniciatorit të një thirrjeje në grup të iniciojë pranimin e detyruar të thirrjes në anën e palës së thirrur (për shembull, për dëgjim dhe përgjim).

    Gjithashtu të nominuar për çmimin ishin:

    • Prekshmëria në WhatsApp, i cili ju lejon të ekzekutoni kodin tuaj duke dërguar një telefonatë zanore të krijuar posaçërisht;
    • Prekshmëria në bibliotekën grafike Skia të përdorur në shfletuesin Chrome, gjë që mund të çojë në prishje të kujtesës për shkak të gabimeve me pikë lundruese në disa transformime gjeometrike;
  • Ngritja më e mirë e cenueshmërisë së privilegjit. Fitorja iu dha për identifikimin dobësitë në kernelin iOS, i cili mund të shfrytëzohet nëpërmjet ipc_voucher, i aksesueshëm përmes shfletuesit Safari.

    Gjithashtu të nominuar për çmimin ishin:

    • Prekshmëria në Windows, duke ju lejuar të fitoni kontroll të plotë mbi sistemin përmes manipulimeve me funksionin CreateWindowEx (win32k.sys). Problemi u identifikua gjatë analizës së malware që shfrytëzoi cenueshmërinë përpara se të rregullohej;
    • Prekshmëria në runc dhe LXC, duke ndikuar në Docker dhe sistemet e tjera të izolimit të kontejnerëve, duke lejuar një kontejner të izoluar të kontrolluar nga një sulmues të ndryshojë skedarin e ekzekutueshëm runc dhe të fitojë privilegje rrënjësore në anën e sistemit pritës;
    • Prekshmëria në iOS (CFPrefsDaemon), i cili ju lejon të anashkaloni mënyrat e izolimit dhe të ekzekutoni kodin me të drejta rrënjësore;
    • Prekshmëria në edicionin e pirgut Linux TCP të përdorur në Android, duke i lejuar një përdoruesi lokal të ngrejë privilegjet e tij në pajisje;
    • Dobësitë në systemd-journald, i cili ju lejon të fitoni të drejta rrënjësore;
    • Prekshmëria në mjetin tmpreaper për pastrimin /tmp, i cili ju lejon të ruani skedarin tuaj në çdo pjesë të sistemit të skedarëve;
  • Sulmi më i mirë kriptografik. I dhënë për identifikimin e boshllëqeve më të rëndësishme në sistemet reale, protokollet dhe algoritmet e kriptimit. Çmimi u dha për identifikimin dobësitë në teknologjinë e sigurisë së rrjetit pa tel WPA3 dhe EAP-pwd, e cila ju lejon të rikrijoni fjalëkalimin e lidhjes dhe të fitoni akses në rrjetin me valë pa e ditur fjalëkalimin.

    Kandidatë të tjerë për këtë çmim ishin:

    • Метод sulme në PGP dhe S/MIME enkriptim në klientët e postës elektronike;
    • Aplikim metodë e nisjes së ftohtë për të fituar akses në përmbajtjen e ndarjeve të koduara të Bitlocker;
    • Prekshmëria në OpenSSL, i cili ju lejon të ndani situatat e marrjes së mbushjes së pasaktë dhe MAC të pasaktë. Problemi është shkaktuar nga trajtimi i gabuar i zero bajteve në padding oracle;
    • Problemet me karta identiteti të përdorura në Gjermani duke përdorur SAML;
    • problem me entropinë e numrave të rastit në zbatimin e mbështetjes për shenjat U2F në ChromeOS;
    • Prekshmëria në Monocypher, për shkak të të cilit nënshkrimet null të EdDSA u njohën si të sakta.
  • Hulumtimi më inovativ ndonjëherë. Çmimi iu dha zhvilluesit të teknologjisë Emulimi i vektorizuar, i cili përdor udhëzimet vektoriale AVX-512 për të imituar ekzekutimin e programit, duke lejuar një rritje të konsiderueshme në shpejtësinë e testimit të fuzzimit (deri në 40-120 miliardë instruksione për sekondë). Teknika lejon që çdo bërthamë CPU të ekzekutojë 8 makina virtuale 64-bit ose 16 32-bitësh paralelisht me udhëzimet për testimin fuzzing të aplikacionit.

    Më poshtë ishin të pranueshëm për çmimin:

    • Prekshmëria në teknologjinë Power Query nga MS Excel, e cila ju lejon të organizoni ekzekutimin e kodit dhe të anashkaloni metodat e izolimit të aplikacionit kur hapni fletëllogaritëse të dizajnuara posaçërisht;
    • Метод mashtrimi i autopilotit të makinave Tesla për të provokuar drejtimin në korsinë e ardhshme;
    • Punë inxhinieri e kundërt e çipit ASICS Siemens S7-1200;
    • SonarSnoop - Teknika e gjurmimit të lëvizjes së gishtave për të përcaktuar kodin e zhbllokimit të telefonit, bazuar në parimin e funksionimit të sonarit - altoparlantët e sipërm dhe të poshtëm të telefonit inteligjent gjenerojnë dridhje të padëgjueshme dhe mikrofonët e integruar i marrin ato për të analizuar praninë e dridhjeve të reflektuara nga dorë;
    • Разработка paketa e mjeteve të inxhinierisë së kundërt Ghidra e NSA-së;
    • SAFE — një teknikë për përcaktimin e përdorimit të kodit për funksione identike në disa skedarë të ekzekutueshëm bazuar në analizën e asambleve binare;
    • krijim një metodë për të anashkaluar mekanizmin Intel Boot Guard për të ngarkuar firmware të modifikuar UEFI pa verifikim të nënshkrimit dixhital.
  • Reagimi më i çalë nga një shitës (Përgjigja më e dobët e shitësit). Nominimi për përgjigjen më të papërshtatshme ndaj një mesazhi në lidhje me një cenueshmëri në produktin tuaj. Fituesit janë zhvilluesit e portofolit kripto BitFi, të cilët bërtasin për ultra-sigurinë e produktit të tyre, i cili në realitet doli të ishte imagjinar, ngacmojnë studiuesit që identifikojnë dobësitë dhe nuk paguajnë shpërblimet e premtuara për identifikimin e problemeve;

    Ndër aplikantët për çmim konsiderohen gjithashtu:

    • Një studiues sigurie akuzoi drejtorin e Atrient se e kishte sulmuar atë në mënyrë që ta detyronte të hiqte një raport mbi një dobësi që ai identifikoi, por drejtori mohon incidentin dhe kamerat e vëzhgimit nuk e regjistruan sulmin;
    • Zmadhimi vonoi rregullimin e problemit kritik dobësitë në sistemin e tij të konferencave dhe e korrigjoi problemin vetëm pas zbulimit publik. Dobësia lejoi një sulmues të jashtëm të merrte të dhëna nga kamerat e internetit të përdoruesve të macOS kur hapte një faqe të krijuar posaçërisht në shfletues (Zoom lançoi një server http në anën e klientit që merrte komanda nga aplikacioni lokal).
    • Mos korrigjimi për më shumë se 10 vjet problemi me serverët e çelësave kriptografikë OpenPGP, duke përmendur faktin se kodi është shkruar në një gjuhë specifike OCaml dhe mbetet pa një mbajtës.

    Njoftimi më i reklamuar për cenueshmërinë ende. Shpërblehet për mbulimin më patetik dhe në shkallë të gjerë të problemit në internet dhe media, veçanërisht nëse dobësia përfundimisht rezulton të jetë e pashfrytëzueshme në praktikë. Çmimi iu dha Bloomberg për kërkesë në lidhje me identifikimin e çipave spiun në bordet Super Micro, i cili nuk u konfirmua, dhe burimi tregoi absolutisht Informacioni tjetër.

    Përmendur në nominim:

    • Cenueshmëria në libssh, e cila të prekura aplikacionet e një serveri të vetëm (libssh pothuajse nuk përdoret kurrë për serverë), por u prezantua nga Grupi NCC si një dobësi që lejon sulmin e çdo serveri OpenSSH.
    • Sulmoni duke përdorur imazhet DICOM. Çështja është që ju mund të përgatisni një skedar të ekzekutueshëm për Windows që do të duket si një imazh i vlefshëm DICOM. Ky skedar mund të shkarkohet në pajisjen mjekësore dhe të ekzekutohet.
    • Prekshmëria Thrangrycat, i cili ju lejon të anashkaloni mekanizmin e sigurt të nisjes në pajisjet Cisco. Dobësia klasifikohet si një problem i tepërt, sepse kërkon të drejta rrënjësore për të sulmuar, por nëse sulmuesi tashmë ishte në gjendje të fitonte qasje rrënjësore, atëherë për çfarë sigurie mund të flasim. Dobësia fitoi gjithashtu në kategorinë e problemeve më të nënvlerësuara, pasi ju lejon të futni një backdoor të përhershëm në Flash;
  • Dështimi më i madh (Fail më Epik). Fitorja iu dha Bloomberg për një seri artikujsh të bujshëm me tituj të zhurmshëm, por fakte të sajuara, shtypje burimesh, zbritje në teori konspirative, përdorim termash të tillë si "armë kibernetike" dhe përgjithësime të papranueshme. Të nominuarit e tjerë përfshijnë:
    • Sulmi Shadowhammer në shërbimin e përditësimit të firmuerit Asus;
    • Hakimi i një kasaforte BitFi të reklamuar si "i pahakueshëm";
    • Rrjedhjet e të dhënave personale dhe argumentet qasje në Facebook.

Burimi: opennet.ru

Shto një koment