ProHoster > Blog > internet haberleri > Pwnie Awards 2019: En Önemli Güvenlik Açıkları ve Başarısızlıkları

Pwnie Awards 2019: En Önemli Güvenlik Açıkları ve Başarısızlıkları

Las Vegas'taki Black Hat USA konferansında gerçekleşti ödül töreni Pwnie Ödülleri 2019Bilgisayar güvenliği alanındaki en önemli güvenlik açıklarını ve saçma hataları vurgulayan. Pwnie Ödülleri, bilgisayar güvenliği alanında Oscar ve Altın Ahududu ödüllerinin eşdeğeri olarak kabul ediliyor ve 2007 yılından bu yana her yıl düzenleniyor.

Ana kazananlar и adaylıklar:

  • En iyi sunucu hatası. Bir ağ hizmetindeki teknik açıdan en karmaşık ve ilginç hatayı tespit edip kullandığı için verilir. Kazananlar araştırmacılar oldu açıklığa kavuşmuş VPN hizmeti Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, ABD Donanması, ABD İç Güvenlik Bakanlığı (DHS) ve muhtemelen dünyanın yarısı tarafından kullanılan VPN sağlayıcısı Pulse Secure'daki güvenlik açığı Fortune 500 listesindeki şirketler Araştırmacılar, kimliği doğrulanmamış bir saldırganın herhangi bir kullanıcının şifresini değiştirmesine olanak tanıyan bir arka kapı buldu. Yalnızca HTTPS bağlantı noktasının açık olduğu bir VPN sunucusuna kök erişimi sağlamak için bu sorundan yararlanma olasılığı gösterilmiştir;

    Ödülü alamayan adaylar arasında şunlar dikkat çekiyor:

    • Kimlik doğrulama öncesi aşamada çalıştırıldı Güvenlik açığı Sunucuda kod çalıştırmanıza olanak tanıyan Jenkins sürekli entegrasyon sisteminde. Güvenlik açığı, botlar tarafından sunucularda kripto para madenciliği düzenlemek için aktif olarak kullanılıyor;
    • Kritik Güvenlik açığı sunucuda kök haklarıyla kod çalıştırmanıza olanak tanıyan Exim posta sunucusunda;
    • güvenlik açıkları Xiongmai XMeye P2P IP kameralarda, cihazın kontrolünü elinize almanıza olanak tanır. Kameralara bir mühendislik şifresi verildi ve cihaz yazılımı güncellenirken dijital imza doğrulaması kullanılmadı;
    • Kritik Güvenlik açığı kodunuzu uzaktan yürütmenize olanak tanıyan Windows'ta RDP protokolünün uygulanmasında;
    • Güvenlik açığı WordPress'te, bir resim kisvesi altında PHP kodunun yüklenmesiyle ilişkili. Sorun, sitedeki yayınların yazarının (Yazar) ayrıcalıklarına sahip olarak sunucuda rastgele kod çalıştırmanıza izin verir;
  • En İyi İstemci Yazılımı Hatası. Kazanan, kullanımı kolay olandı Güvenlik açığı Apple FaceTime grup arama sisteminde, grup aramasını başlatan kişinin, aramayı aranan tarafça kabul edilmesini zorlamasına olanak tanır (örneğin, dinlemek ve gözetlemek için).

    Ayrıca ödüle aday gösterilen isimler şunlardı:

    • Güvenlik açığı özel olarak tasarlanmış bir sesli arama göndererek kodunuzu çalıştırmanıza olanak tanıyan WhatsApp'ta;
    • Güvenlik açığı Chrome tarayıcısında kullanılan Skia grafik kütüphanesinde bazı geometrik dönüşümlerde kayan nokta hataları nedeniyle hafıza bozulmasına yol açabilen;
  • En İyi Ayrıcalık Yükselişi Güvenlik Açığı. Zafer kimlik tespiti için verildi güvenlik açıkları iOS çekirdeğinde bulunan ve ipc_voucher aracılığıyla kullanılabilen, Safari tarayıcısı aracılığıyla erişilebilen bir özelliktir.

    Ayrıca ödüle aday gösterilen isimler şunlardı:

    • Güvenlik açığı Windows'ta, CreateWindowEx (win32k.sys) işleviyle yapılan manipülasyonlar yoluyla sistem üzerinde tam kontrol sahibi olmanızı sağlar. Sorun, güvenlik açığından yararlanan ve düzeltilmeden önce kötü amaçlı yazılımların analizi sırasında tespit edildi;
    • Güvenlik açığı runc ve LXC'de, Docker ve diğer konteyner izolasyon sistemlerini etkileyerek, bir saldırgan tarafından kontrol edilen yalıtılmış bir konteynerin runc çalıştırılabilir dosyasını değiştirmesine ve ana sistem tarafında kök ayrıcalıkları kazanmasına olanak tanır;
    • Güvenlik açığı izolasyon modlarını atlamanıza ve kök haklarıyla kod yürütmenize olanak tanıyan iOS'ta (CFPrefsDaemon);
    • Güvenlik açığı Android'de kullanılan Linux TCP yığınının sürümünde, yerel bir kullanıcının cihazdaki ayrıcalıklarını yükseltmesine olanak tanır;
    • güvenlik açıkları kök hakları kazanmanızı sağlayan systemd-journald'da;
    • Güvenlik açığı dosyanızı dosya sisteminin herhangi bir yerine kaydetmenize olanak tanıyan /tmp temizliği için tmpreaper yardımcı programında;
  • En İyi Kriptografik Saldırı. Gerçek sistemler, protokoller ve şifreleme algoritmalarındaki en önemli boşlukları tespit etmeye verilir. Ödül, kimliği tespit edene verildi güvenlik açıkları WPA3 kablosuz ağ güvenlik teknolojisi ve bağlantı parolasını yeniden oluşturmanıza ve parolayı bilmeden kablosuz ağa erişmenize olanak tanıyan EAP-pwd'de.

    Ödülün diğer adayları ise şöyle:

    • yöntem e-posta istemcilerinde PGP ve S/MIME şifrelemesine yönelik saldırılar;
    • Uygulama şifrelenmiş Bitlocker bölümlerinin içeriğine erişim sağlamak için soğuk başlatma yöntemi;
    • Güvenlik açığı Yanlış dolgu ve hatalı MAC alma durumlarını ayırmanıza olanak tanıyan OpenSSL'de. Sorun, dolgu oracle'ında sıfır baytın yanlış işlenmesinden kaynaklanıyor;
    • Sorunları Almanya'da SAML kullanan kimlik kartlarıyla;
    • Sorun ChromeOS'ta U2F belirteçleri desteğinin uygulanmasında rastgele sayıların entropisi ile;
    • Güvenlik açığı Monocypher'da boş EdDSA imzaları doğru olarak tanındı.
  • Şimdiye kadarki en yenilikçi araştırma. Ödül, teknolojiyi geliştiren kişiye verildi Vektörleştirilmiş EmülasyonProgram yürütmeyi taklit etmek için AVX-512 vektör talimatlarını kullanan, fuzzing test hızında önemli bir artışa (saniyede 40-120 milyar talimata kadar) olanak tanır. Bu teknik, her bir CPU çekirdeğinin, uygulamanın bulanıklaştırma testi talimatlarına paralel olarak 8 64 bit veya 16 32 bit sanal makineyi çalıştırmasına olanak tanır.

    Ödüle aşağıdaki isimler layık görüldü:

    • Güvenlik açığı özel olarak tasarlanmış elektronik tabloları açarken kod yürütmeyi düzenlemenize ve uygulama yalıtım yöntemlerini atlamanıza olanak tanıyan MS Excel'in Power Query teknolojisinde;
    • yöntem karşı şeritte sürüşü kışkırtmak için Tesla arabalarının otopilotunu aldatmak;
    • Çalışma ASICS çip Siemens S7-1200'ün tersine mühendisliği;
    • SonarSnoop - sonar çalışması prensibine dayalı olarak telefonun kilit açma kodunu belirlemek için parmak hareketi izleme tekniği - akıllı telefonun üst ve alt hoparlörleri duyulamayan titreşimler üretir ve yerleşik mikrofonlar, telefondan yansıyan titreşimlerin varlığını analiz etmek için bunları alır. el;
    • Gelişme NSA'nın Ghidra tersine mühendislik araç seti;
    • GÜVENLİ - ikili düzeneklerin analizine dayalı olarak çeşitli yürütülebilir dosyalarda aynı işlevler için kod kullanımının belirlenmesine yönelik bir teknik;
    • oluşturma Değiştirilmiş UEFI ürün yazılımını dijital imza doğrulaması olmadan yüklemek için Intel Boot Guard mekanizmasını atlamanın bir yöntemi.
  • Bir satıcıdan en kötü tepki (En Kötü Satıcı Yanıtı). Kendi ürününüzdeki bir güvenlik açığıyla ilgili bir mesaja verilen en yetersiz yanıta aday gösterilme. Kazananlar, gerçekte hayali olduğu ortaya çıkan ürünlerinin ultra güvenliği hakkında bağıran, güvenlik açıklarını tespit eden araştırmacıları taciz eden ve sorunları tespit etmek için vaat edilen bonusları ödemeyen BitFi kripto cüzdanının geliştiricileridir;

    Ödüle başvuranlar arasında ayrıca şunlar da değerlendirildi:

    • Bir güvenlik araştırmacısı, Atrient'in müdürünü, tespit ettiği bir güvenlik açığına ilişkin raporu kaldırmaya zorlamak için kendisine saldırmakla suçladı, ancak müdür olayı yalanladı ve güvenlik kameraları saldırıyı kaydetmedi;
    • Zoom kritik sorunu düzeltmeyi geciktirdi güvenlik açıkları Konferans sisteminde sorunu ancak kamuya açıklandıktan sonra düzeltti. Güvenlik açığı, harici bir saldırganın, tarayıcıda özel tasarlanmış bir sayfayı açarken macOS kullanıcılarının web kameralarından veri elde etmesine olanak tanıdı (Zoom, yerel uygulamadan komutlar alan istemci tarafında bir http sunucusu başlattı).
    • 10 yıldan fazla süredir düzeltme yapılmaması sorun Kodun belirli bir OCaml dilinde yazıldığı ve bakımcı olmadan kaldığı gerçeğini öne sürerek OpenPGP şifreleme anahtar sunucularıyla.

    Şimdiye kadarki en abartılı güvenlik açığı duyurusu. Sorunun İnternet ve medyada en acıklı ve geniş ölçekli olarak ele alınmasına verilir, özellikle de güvenlik açığının sonuçta pratikte kullanılamaz olduğu ortaya çıkarsa. Ödül Bloomberg'e verildi açıklama Super Micro kartlardaki casus çiplerin tespiti hakkında henüz doğrulanmadı ve kaynağın kesinlikle belirtilmesi hakkında diğer bilgiler.

    Adaylıkta adı geçenler:

    • Libssh'deki güvenlik açığı üzerinde değinilmiş tek sunuculu uygulamalar (libssh neredeyse hiçbir zaman sunucular için kullanılmaz), ancak NCC Grubu tarafından herhangi bir OpenSSH sunucusuna saldırmaya izin veren bir güvenlik açığı olarak sunuldu.
    • DICOM görüntülerini kullanarak saldırı yapın. Önemli olan, Windows için geçerli bir DICOM görüntüsü gibi görünecek yürütülebilir bir dosya hazırlayabilmenizdir. Bu dosya tıbbi cihaza indirilebilir ve çalıştırılabilir.
    • Güvenlik açığı ThrangrycatCisco cihazlarındaki güvenli önyükleme mekanizmasını atlamanıza olanak tanır. Güvenlik açığı, saldırı için kök hakları gerektirdiğinden abartılı bir sorun olarak sınıflandırılıyor ancak saldırgan zaten kök erişimi elde edebildiyse o zaman nasıl bir güvenlikten bahsedebiliriz. Güvenlik açığı aynı zamanda Flash'a kalıcı bir arka kapı eklemenize izin verdiği için en hafife alınan sorunlar kategorisinde de ödül kazandı;
  • En büyük başarısızlık (Çoğu Epik BAŞARISIZ). Zafer, Bloomberg'e yüksek sesli manşetler içeren ancak uydurma gerçekler içeren bir dizi sansasyonel makale, kaynakların gizlenmesi, komplo teorilerine yönelme, "siber silahlar" gibi terimlerin kullanımı ve kabul edilemez genellemeler nedeniyle verildi. Diğer adaylar arasında şunlar yer alıyor:
    • Asus ürün yazılımı güncelleme hizmetine Shadowhammer saldırısı;
    • "Hacklenemez" olarak tanıtılan bir BitFi kasasını hacklemek;
    • Kişisel verilerin sızması ve jetonlar Facebook'a erişim.

Kaynak: opennet.ru

Yorum ekle