ProHoster > blog > habari za mtandao > Tuzo za Pwnie 2019: Athari Muhimu Zaidi za Usalama na Kushindwa

Tuzo za Pwnie 2019: Athari Muhimu Zaidi za Usalama na Kushindwa

Katika mkutano wa Black Hat USA huko Las Vegas ilifanyika sherehe ya tuzo Tuzo za Pwnie 2019, ambayo inaonyesha udhaifu mkubwa na kushindwa kwa upuuzi katika uwanja wa usalama wa kompyuta. Tuzo za Pwnie zinachukuliwa kuwa sawa na Oscars na Golden Raspberries katika uwanja wa usalama wa kompyuta na zimekuwa zikifanyika kila mwaka tangu 2007.

kuu washindi ΠΈ uteuzi:

  • Mdudu bora wa seva. Hutolewa kwa kutambua na kutumia hitilafu changamano na ya kuvutia kitaalam katika huduma ya mtandao. Washindi walikuwa watafiti kufichuliwa kuathirika kwa mtoa huduma wa VPN Pulse Secure, ambaye huduma yake ya VPN inatumiwa na Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, Jeshi la Wanamaji la Marekani, Idara ya Usalama wa Taifa ya Marekani (DHS) na pengine nusu ya makampuni kutoka kwenye orodha ya Fortune 500. Watafiti wamepata backdoor ambayo inaruhusu mshambuliaji ambaye hajaidhinishwa kubadilisha nenosiri la mtumiaji yeyote. Uwezekano wa kutumia tatizo ili kupata upatikanaji wa mizizi kwa seva ya VPN ambayo bandari ya HTTPS pekee imefunguliwa imeonyeshwa;

    Miongoni mwa wagombea ambao hawakupokea tuzo, zifuatazo zinaweza kuzingatiwa:

    • Inaendeshwa katika hatua ya uthibitishaji wa awali kuathirika katika mfumo wa ujumuishaji unaoendelea wa Jenkins, ambayo hukuruhusu kutekeleza nambari kwenye seva. Athari hii inatumiwa kikamilifu na roboti kuandaa uchimbaji madini ya cryptocurrency kwenye seva;
    • Kikosoa kuathirika katika seva ya barua ya Exim, ambayo inakuwezesha kutekeleza msimbo kwenye seva na haki za mizizi;
    • Udhaifu kwenye kamera za IP za Xiongmai XMeye P2P, hukuruhusu kuchukua udhibiti wa kifaa. Kamera zilitolewa na nenosiri la uhandisi na hazikutumia uthibitishaji wa saini ya dijiti wakati wa kusasisha firmware;
    • Kikosoa kuathirika katika utekelezaji wa itifaki ya RDP katika Windows, ambayo inakuwezesha kutekeleza msimbo wako kwa mbali;
    • Uwezo wa kuathiriwa katika WordPress, inayohusishwa na kupakia msimbo wa PHP chini ya kivuli cha picha. Tatizo hukuruhusu kutekeleza msimbo wa kiholela kwenye seva, kuwa na marupurupu ya mwandishi wa machapisho (Mwandishi) kwenye tovuti;
  • Mdudu Bora wa Programu ya Mteja. Mshindi alikuwa ni rahisi kutumia kuathirika katika mfumo wa kupiga simu wa kikundi cha Apple FaceTime, ikiruhusu mwanzilishi wa simu ya kikundi kulazimisha simu kukubaliwa na mtu aliyeitwa (kwa mfano, kwa kusikiliza na kuchungulia).

    Pia walioteuliwa kuwania tuzo hiyo walikuwa:

    • Uwezo wa kuathiriwa katika WhatsApp, ambayo hukuruhusu kutekeleza nambari yako kwa kutuma simu ya sauti iliyoundwa maalum;
    • Uwezo wa kuathiriwa katika maktaba ya michoro ya Skia inayotumiwa kwenye kivinjari cha Chrome, ambayo inaweza kusababisha uharibifu wa kumbukumbu kutokana na makosa ya hatua zinazoelea katika baadhi ya mabadiliko ya kijiometri;
  • Mwinuko Bora wa Madhara ya Mapendeleo. Ushindi ulitolewa kwa kutambua udhaifu kwenye kernel ya iOS, ambayo inaweza kutumiwa kupitia ipc_voucher, inayopatikana kupitia kivinjari cha Safari.

    Pia walioteuliwa kuwania tuzo hiyo walikuwa:

    • Uwezo wa kuathiriwa katika Windows, hukuruhusu kupata udhibiti kamili juu ya mfumo kwa njia ya uendeshaji na kitendakazi cha CreateWindowEx (win32k.sys). Tatizo lilitambuliwa wakati wa uchanganuzi wa programu hasidi ambayo ilitumia uwezekano wa kuathiriwa kabla ya kusuluhishwa;
    • Uwezo wa kuathiriwa katika runc na LXC, inayoathiri Docker na mifumo mingine ya kutenga vyombo, ikiruhusu kontena lililotengwa linalodhibitiwa na mvamizi kubadilisha faili inayoweza kutekelezwa na kupata haki za mizizi kwenye upande wa mfumo wa mwenyeji;
    • Uwezo wa kuathiriwa katika iOS (CFPrefsDaemon), ambayo hukuruhusu kupitisha njia za kutengwa na kutekeleza nambari na haki za mizizi;
    • Uwezo wa kuathiriwa katika toleo la Linux TCP stack kutumika katika Android, kuruhusu mtumiaji wa ndani kuinua mapendeleo yao kwenye kifaa;
    • Udhaifu katika systemd-journald, ambayo hukuruhusu kupata haki za mizizi;
    • Uwezo wa kuathiriwa katika matumizi ya tmpreaper ya kusafisha /tmp, ambayo hukuruhusu kuhifadhi faili yako katika sehemu yoyote ya mfumo wa faili;
  • Mashambulizi bora ya Cryptographic. Hutolewa kwa kutambua mapungufu makubwa zaidi katika mifumo halisi, itifaki na algoriti za usimbaji fiche. Zawadi hiyo ilitolewa kwa kutambua udhaifu katika teknolojia ya usalama ya mtandao wa wireless WPA3 na EAP-pwd, ambayo inakuwezesha kuunda upya nenosiri la uunganisho na kupata upatikanaji wa mtandao wa wireless bila kujua nenosiri.

    Wagombea wengine wa tuzo hiyo walikuwa:

    • Mbinu mashambulizi ya PGP na usimbaji fiche wa S/MIME katika wateja wa barua pepe;
    • Maombi njia baridi ya boot kupata ufikiaji wa yaliyomo kwenye sehemu zilizosimbwa za Bitlocker;
    • Uwezo wa kuathiriwa katika OpenSSL, ambayo inakuwezesha kutenganisha hali za kupokea pedi zisizo sahihi na MAC isiyo sahihi. Tatizo linasababishwa na utunzaji usio sahihi wa byte za sifuri katika eneo la padding;
    • Shida na vitambulisho vinavyotumika Ujerumani kwa kutumia SAML;
    • tatizo na entropy ya nambari za nasibu katika utekelezaji wa usaidizi wa tokeni za U2F katika ChromeOS;
    • Uwezo wa kuathiriwa katika Monocypher, kwa sababu ambayo saini batili za EdDSA zilitambuliwa kuwa sahihi.
  • Utafiti wa ubunifu zaidi kuwahi kutokea. Zawadi hiyo ilitolewa kwa mtengenezaji wa teknolojia Uigaji wa Kivekta, ambayo hutumia maagizo ya vekta ya AVX-512 kuiga utekelezaji wa programu, kuruhusu ongezeko kubwa la kasi ya majaribio ya fuzzing (hadi maagizo bilioni 40-120 kwa sekunde). Mbinu hii huruhusu kila msingi wa CPU kuendesha mashine 8 za 64-bit au 16-bit 32-bit sambamba na maagizo ya majaribio ya kutatanisha ya programu.

    Wafuatao walistahiki tuzo hiyo:

    • Uwezo wa kuathiriwa katika teknolojia ya Swala la Nguvu kutoka kwa MS Excel, ambayo inakuwezesha kupanga utekelezaji wa kanuni na kupuuza mbinu za kutengwa kwa programu wakati wa kufungua lahajedwali maalum iliyoundwa;
    • Mbinu kudanganya otomatiki wa magari ya Tesla ili kuchochea kuendesha gari kwenye njia inayokuja;
    • Kazi uhandisi wa nyuma wa Chip ASICS Siemens S7-1200;
    • SonarSnoop - Mbinu ya kufuatilia harakati za vidole ili kubaini msimbo wa kufungua simu, kwa kuzingatia kanuni ya uendeshaji wa sonar - spika za juu na chini za simu mahiri hutoa mitetemo isiyosikika, na maikrofoni zilizojengewa ndani huzichukua ili kuchanganua uwepo wa mitetemo inayoakisiwa kutoka kwa simu. mkono;
    • Maendeleo zana za zana za uhandisi za Ghidra za NSA;
    • UN - mbinu ya kuamua matumizi ya nambari kwa kazi zinazofanana katika faili kadhaa zinazoweza kutekelezwa kulingana na uchambuzi wa makusanyiko ya binary;
    • viumbe njia ya kukwepa utaratibu wa Intel Boot Guard ili kupakia programu dhibiti ya UEFI iliyorekebishwa bila uthibitishaji wa saini ya dijiti.
  • Mwitikio wa kilema zaidi kutoka kwa muuzaji (Majibu ya Muuzaji Lamest). Uteuzi wa jibu lisilotosheleza zaidi kwa ujumbe kuhusu uwezekano wa kuathiriwa na bidhaa yako mwenyewe. Washindi ni watengenezaji wa mkoba wa BitFi crypto, ambao wanapiga kelele juu ya usalama wa juu wa bidhaa zao, ambazo kwa kweli ziligeuka kuwa za kufikiria, huwanyanyasa watafiti wanaotambua udhaifu, na hawalipi mafao yaliyoahidiwa kwa kutambua matatizo;

    Miongoni mwa waombaji wa tuzo hiyo pia walizingatiwa:

    • Mtafiti wa masuala ya usalama alimshutumu mkurugenzi wa kampuni ya Atrient kwa kumshambulia ili kumlazimisha aondoe ripoti ya udhaifu alioubaini, lakini mkurugenzi huyo anakanusha tukio hilo na kamera za uchunguzi hazikurekodi shambulio hilo;
    • Kuza kumechelewa kurekebisha suala muhimu udhaifu katika mfumo wake wa mikutano na kusahihisha tatizo baada ya kufichuliwa kwa umma. Athari hiyo iliruhusu mvamizi wa nje kupata data kutoka kwa kamera za wavuti za watumiaji wa MacOS wakati wa kufungua ukurasa maalum kwenye kivinjari (Zoom ilizindua seva ya http kwenye upande wa mteja ambayo ilipokea amri kutoka kwa programu ya ndani).
    • Kukosa kusahihisha kwa zaidi ya miaka 10 shida na seva muhimu za kriptografia za OpenPGP, ikionyesha ukweli kwamba msimbo umeandikwa katika lugha maalum ya OCaml na inabaki bila mtunzaji.

    Tangazo la kuathiriwa ambalo limesisimka zaidi bado. Imetolewa kwa utangazaji wa kusikitisha zaidi na wa kiwango kikubwa wa tatizo kwenye Mtandao na vyombo vya habari, hasa ikiwa udhaifu hatimaye utageuka kuwa hauwezi kutumiwa kimatendo. Tuzo hiyo ilitolewa kwa Bloomberg kwa taarifa kuhusu utambulisho wa chips za kijasusi kwenye bodi za Super Micro, ambazo hazikuthibitishwa, na chanzo kilionyesha kabisa habari nyingine.

    Imetajwa katika uteuzi:

    • Udhaifu katika libssh, ambayo kuguswa programu za seva moja (libssh karibu haitumiki kamwe kwa seva), lakini iliwasilishwa na Kundi la NCC kama hatari inayoruhusu kushambulia seva yoyote ya OpenSSH.
    • Shambulizi kwa kutumia picha za DICOM. Jambo ni kwamba unaweza kuandaa faili inayoweza kutekelezwa kwa Windows ambayo itaonekana kama picha halali ya DICOM. Faili hii inaweza kupakuliwa kwa kifaa cha matibabu na kutekelezwa.
    • Uwezo wa kuathiriwa Thrangrycat, ambayo hukuruhusu kupitisha utaratibu salama wa boot kwenye vifaa vya Cisco. Athari hii inaainishwa kama tatizo lililokithiri kwa sababu linahitaji haki za mizizi ili kushambulia, lakini ikiwa mshambuliaji tayari alikuwa na uwezo wa kufikia mizizi, basi tunaweza kuzungumzia usalama gani. Udhaifu pia ulishinda katika kitengo cha shida ambazo hazijakadiriwa, kwani hukuruhusu kuanzisha mlango wa nyuma wa kudumu kwenye Flash;
  • Kushindwa kubwa zaidi (Nyingi Epic FAIL). Ushindi huo ulitunukiwa Bloomberg kwa mfululizo wa makala za kusisimua zenye vichwa vya habari vikali lakini ukweli wa kubuni, ukandamizaji wa vyanzo, kushuka kwa nadharia za njama, matumizi ya maneno kama vile "silaha za mtandao", na maelezo ya jumla yasiyokubalika. Wengine walioteuliwa ni pamoja na:
    • Shadowhammer mashambulizi kwenye huduma ya sasisho ya firmware ya Asus;
    • Udukuzi wa kubana ya BitFi iliyotangazwa kuwa "isiyoweza kuguswa";
    • Uvujaji wa data ya kibinafsi na ishara ufikiaji wa Facebook.

Chanzo: opennet.ru

Kuongeza maoni