ProHoster > Blog > balita sa internet > Pwnie Awards 2019: Karamihan sa mga Mahahalagang Kahinaan at Pagkabigo sa Seguridad

Pwnie Awards 2019: Karamihan sa mga Mahahalagang Kahinaan at Pagkabigo sa Seguridad

Sa kumperensya ng Black Hat USA sa Las Vegas naganap seremonya ng parangal Pwnie Awards 2019, na nagha-highlight sa mga pinaka makabuluhang kahinaan at walang katotohanan na mga pagkabigo sa larangan ng seguridad ng computer. Ang Pwnie Awards ay itinuturing na katumbas ng Oscars at Golden Raspberries sa larangan ng computer security at taun-taon ay ginaganap mula noong 2007.

Ang pangunahing mga nanalo ΠΈ mga nominasyon:

  • Pinakamahusay na server bug. Iginawad para sa pagtukoy at pagsasamantala sa pinaka teknikal na kumplikado at kawili-wiling bug sa isang serbisyo ng network. Ang mga nagwagi ay ang mga mananaliksik ipinahayag kahinaan sa VPN provider na Pulse Secure, na ang serbisyo ng VPN ay ginagamit ng Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, US Navy, US Department of Homeland Security (DHS) at marahil kalahati ng mga kumpanya mula sa listahan ng Fortune 500. Nakahanap ang mga mananaliksik ng backdoor na nagbibigay-daan sa isang hindi napatotohanan na umaatake na baguhin ang password ng sinumang user. Ang posibilidad ng pagsasamantala sa problema upang makakuha ng root access sa isang VPN server kung saan ang HTTPS port lamang ang nakabukas ay ipinakita;

    Sa mga kandidatong hindi nakatanggap ng premyo, mapapansin ang mga sumusunod:

    • Pinapatakbo sa yugto ng pre-authentication kahinaan sa tuloy-tuloy na sistema ng pagsasama ng Jenkins, na nagbibigay-daan sa iyong magsagawa ng code sa server. Ang kahinaan ay aktibong ginagamit ng mga bot upang ayusin ang pagmimina ng cryptocurrency sa mga server;
    • Mapanganib kahinaan sa Exim mail server, na nagpapahintulot sa iyo na magsagawa ng code sa server na may mga karapatan sa ugat;
    • Mga kahinaan sa Xiongmai XMeye P2P IP camera, na nagbibigay-daan sa iyong kontrolin ang device. Ang mga camera ay binigyan ng isang password sa engineering at hindi gumamit ng digital signature verification kapag ina-update ang firmware;
    • Mapanganib kahinaan sa pagpapatupad ng RDP protocol sa Windows, na nagbibigay-daan sa iyong malayuang isagawa ang iyong code;
    • Kakayahang mangyari sa WordPress, na nauugnay sa paglo-load ng PHP code sa ilalim ng pagkukunwari ng isang imahe. Ang problema ay nagpapahintulot sa iyo na magsagawa ng di-makatwirang code sa server, pagkakaroon ng mga pribilehiyo ng may-akda ng mga publikasyon (May-akda) sa site;
  • Pinakamahusay na Client Software Bug. Ang nagwagi ay ang madaling gamitin kahinaan sa Apple FaceTime group calling system, na nagbibigay-daan sa nagpasimula ng isang group call na pilitin ang tawag na tanggapin ng tinawag na partido (halimbawa, para sa pakikinig at pag-snooping).

    Nominado din para sa premyo sina:

    • Kakayahang mangyari sa WhatsApp, na nagpapahintulot sa iyo na isagawa ang iyong code sa pamamagitan ng pagpapadala ng espesyal na idinisenyong voice call;
    • Kakayahang mangyari sa Skia graphics library na ginagamit sa Chrome browser, na maaaring humantong sa pagkasira ng memorya dahil sa mga error sa floating point sa ilang geometric na pagbabago;
  • Pinakamahusay na Pagtaas ng Privilege Vulnerability. Ang tagumpay ay iginawad para sa pagkilala mga kahinaan sa iOS kernel, na maaaring samantalahin sa pamamagitan ng ipc_voucher, na maa-access sa pamamagitan ng Safari browser.

    Nominado din para sa premyo sina:

    • Kakayahang mangyari sa Windows, na nagbibigay-daan sa iyong magkaroon ng ganap na kontrol sa system sa pamamagitan ng mga manipulasyon gamit ang CreateWindowEx (win32k.sys) function. Natukoy ang problema sa panahon ng pagsusuri ng malware na nagsamantala sa kahinaan bago ito maayos;
    • Kakayahang mangyari sa runc at LXC, na nakakaapekto sa Docker at iba pang mga container isolation system, na nagpapahintulot sa isang nakahiwalay na container na kinokontrol ng isang attacker na baguhin ang runc executable file at makakuha ng root privileges sa side ng host system;
    • Kakayahang mangyari sa iOS (CFPrefsDaemon), na nagbibigay-daan sa iyong i-bypass ang mga isolation mode at i-execute ang code na may mga root rights;
    • Kakayahang mangyari sa edisyon ng Linux TCP stack na ginamit sa Android, na nagpapahintulot sa isang lokal na user na itaas ang kanilang mga pribilehiyo sa device;
    • Mga kahinaan sa systemd-journald, na nagpapahintulot sa iyo na makakuha ng mga karapatan sa ugat;
    • Kakayahang mangyari sa tmpreaper utility para sa paglilinis /tmp, na nagpapahintulot sa iyo na i-save ang iyong file sa anumang bahagi ng file system;
  • Pinakamahusay na Pag-atake sa Cryptographic. Iginawad para sa pagtukoy ng pinakamahahalagang gaps sa mga tunay na system, protocol at algorithm ng pag-encrypt. Ang premyo ay iginawad para sa pagkilala mga kahinaan sa WPA3 wireless network security technology at EAP-pwd, na nagbibigay-daan sa iyong muling likhain ang password ng koneksyon at makakuha ng access sa wireless network nang hindi nalalaman ang password.

    Ang iba pang mga kandidato para sa parangal ay sina:

    • pamamaraan pag-atake sa PGP at S/MIME encryption sa mga email client;
    • Application paraan ng malamig na boot upang makakuha ng access sa mga nilalaman ng naka-encrypt na mga partisyon ng Bitlocker;
    • Kakayahang mangyari sa OpenSSL, na nagpapahintulot sa iyo na paghiwalayin ang mga sitwasyon ng pagtanggap ng maling padding at maling MAC. Ang problema ay sanhi ng hindi tamang paghawak ng zero bytes sa padding oracle;
    • Mga Problema may mga ID card na ginamit sa Germany gamit ang SAML;
    • problema na may entropy ng mga random na numero sa pagpapatupad ng suporta para sa mga U2F token sa ChromeOS;
    • Kakayahang mangyari sa Monocypher, dahil sa kung saan ang mga null na lagda ng EdDSA ay kinilala bilang tama.
  • Ang pinaka-makabagong pananaliksik kailanman. Ang premyo ay iginawad sa developer ng teknolohiya Vectorized Emulation, na gumagamit ng mga tagubilin sa vector ng AVX-512 upang tularan ang pagpapatupad ng programa, na nagbibigay-daan para sa isang makabuluhang pagtaas sa bilis ng pag-fuzzing ng pagsubok (hanggang sa 40-120 bilyong mga tagubilin sa bawat segundo). Ang pamamaraan ay nagbibigay-daan sa bawat CPU core na magpatakbo ng 8 64-bit o 16 32-bit na virtual machine na kahanay ng mga tagubilin para sa malabong pagsubok ng application.

    Ang mga sumusunod ay karapat-dapat para sa parangal:

    • Kakayahang mangyari sa teknolohiya ng Power Query mula sa MS Excel, na nagbibigay-daan sa iyong ayusin ang pagpapatupad ng code at i-bypass ang mga paraan ng paghihiwalay ng application kapag binubuksan ang mga espesyal na idinisenyong spreadsheet;
    • pamamaraan panlilinlang sa autopilot ng mga sasakyan ng Tesla upang pukawin ang pagmamaneho sa paparating na lane;
    • Π Π°Π±ΠΎΡ‚Π° reverse engineering ng ASICS chip Siemens S7-1200;
    • SonarSnoop - diskarte sa pagsubaybay sa paggalaw ng daliri upang matukoy ang code sa pag-unlock ng telepono, batay sa prinsipyo ng pagpapatakbo ng sonar - ang mga upper at lower speaker ng smartphone ay bumubuo ng mga hindi marinig na vibrations, at ang mga built-in na mikropono ay kinuha ang mga ito upang suriin ang pagkakaroon ng mga vibrations na makikita mula sa kamay;
    • Development ang Ghidra reverse engineering toolkit ng NSA;
    • SAFE β€” isang pamamaraan para sa pagtukoy ng paggamit ng code para sa magkatulad na mga function sa ilang mga executable file batay sa pagsusuri ng mga binary assemblies;
    • paglikha isang paraan upang i-bypass ang mekanismo ng Intel Boot Guard para i-load ang binagong UEFI firmware nang walang digital signature verification.
  • Ang pinaka-pilay na reaksyon mula sa isang vendor (Lamest Vendor Response). Nominasyon para sa pinakahindi sapat na tugon sa isang mensahe tungkol sa isang kahinaan sa iyong sariling produkto. Ang mga nanalo ay ang mga nag-develop ng BitFi crypto wallet, na sumisigaw tungkol sa ultra-security ng kanilang produkto, na sa katotohanan ay naging haka-haka, nanliligalig sa mga mananaliksik na nakikilala ang mga kahinaan, at hindi nagbabayad ng mga ipinangakong bonus para sa pagtukoy ng mga problema;

    Kabilang sa mga aplikante para sa parangal ay isinasaalang-alang din:

    • Inakusahan ng isang security researcher ang direktor ng Atrient ng pag-atake sa kanya upang pilitin siyang alisin ang isang ulat sa isang kahinaan na natukoy niya, ngunit itinanggi ng direktor ang insidente at hindi naitala ng mga surveillance camera ang pag-atake;
    • Naantala ang pag-zoom sa pag-aayos ng kritikal na isyu mga kahinaan sa sistema ng kumperensya nito at naitama lamang ang problema pagkatapos ng pagsisiwalat sa publiko. Ang kahinaan ay nagpapahintulot sa isang panlabas na umaatake na makakuha ng data mula sa mga web camera ng mga gumagamit ng macOS kapag binubuksan ang isang espesyal na idinisenyong pahina sa browser (Inilunsad ng Zoom ang isang http server sa panig ng kliyente na nakatanggap ng mga utos mula sa lokal na application).
    • Pagkabigong itama nang higit sa 10 taon problema na may mga OpenPGP cryptographic key server, na binabanggit ang katotohanan na ang code ay nakasulat sa isang partikular na wika ng OCaml at nananatiling walang tagapangasiwa.

    Ang pinaka-hyped na anunsyo ng kahinaan. Iginawad para sa pinakakalunos-lunos at malawakang saklaw ng problema sa Internet at media, lalo na kung ang kahinaan sa huli ay naging hindi mapagsamantalahan sa pagsasanay. Ang premyo ay iginawad sa Bloomberg para sa pahayag tungkol sa pagkakakilanlan ng mga spy chip sa mga Super Micro board, na hindi nakumpirma, at ang pinagmulan ay ganap na nagpahiwatig iba pang impormasyon.

    Nabanggit sa nominasyon:

    • Ang kahinaan sa libssh, na hinawakan sa solong aplikasyon ng server (halos hindi kailanman ginagamit ang libssh para sa mga server), ngunit ipinakita ng NCC Group bilang isang kahinaan na nagpapahintulot sa pag-atake sa anumang OpenSSH server.
    • Pag-atake gamit ang mga imahe ng DICOM. Ang punto ay maaari kang maghanda ng isang maipapatupad na file para sa Windows na magmumukhang isang wastong imahe ng DICOM. Maaaring ma-download ang file na ito sa medikal na aparato at maisakatuparan.
    • Kakayahang mangyari Thrangrycat, na nagbibigay-daan sa iyong i-bypass ang secure na mekanismo ng boot sa mga Cisco device. Ang kahinaan ay inuri bilang isang labis na problema dahil nangangailangan ito ng mga karapatan sa ugat para mag-atake, ngunit kung ang umaatake ay nakakuha na ng root access, kung gayon anong seguridad ang maaari nating pag-usapan. Ang kahinaan ay nanalo din sa kategorya ng mga pinakamaliit na problema, dahil pinapayagan ka nitong ipakilala ang isang permanenteng backdoor sa Flash;
  • Pinakamalaking kabiguan (Pinaka-Epic FAIL). Ang tagumpay ay iginawad sa Bloomberg para sa isang serye ng mga kahindik-hindik na artikulo na may malalakas na ulo ng balita ngunit gawa-gawang katotohanan, pagsugpo sa mga pinagmumulan, pagbaba sa mga teorya ng pagsasabwatan, paggamit ng mga termino tulad ng "cyberweapons", at hindi katanggap-tanggap na mga generalization. Ang iba pang mga nominado ay kinabibilangan ng:
    • Pag-atake ng Shadowhammer sa serbisyo ng pag-update ng firmware ng Asus;
    • Pag-hack ng BitFi vault na ina-advertise bilang "hindi ma-hack";
    • Paglabas ng personal na data at mga token access sa Facebook.

Pinagmulan: opennet.ru

Magdagdag ng komento