Pwnie Awards 2019: найбільш суттєві вразливості та провали у безпеці
На конференції Black Hat USA, що відбулася в Лас Вегасі. відбулася церемонія вручення премії Pwnie Awards 2019, в рамках якої виділено найбільш значні вразливості та абсурдні провали в галузі комп'ютерної безпеки. Pwnie Awards вважається аналогом Оскара та Золотої малини в галузі комп'ютерної безпеки та проводиться щорічно, починаючи з 2007 року.
Найкраща серверна помилка. Присуджується за виявлення та експлуатацію найбільш технічно складної та цікавої помилки у мережевому сервісі. Переможцями визнано дослідників, виявили вразливість у VPN-провайдера Pulse Secure, VPN-сервіс якого використовується в Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, Військово-морських силах США, Міністерстві національної безпеки (МНБ) США та ймовірно в половині компаній зі списку Fortune 500. Дослідниками було знайдено бекдор, що дозволяє неавтентифікованому атакуючому змінити пароль будь-якого користувача. Продемонстровано можливість експлуатації проблеми для отримання root-доступу до сервера VPN, на якому відкрито лише порт HTTPS;
З претендентів, які не отримали премію, можна відзначити:
Експлуатована на стадії до проходження аутентифікації вразливість у системі безперервної інтеграції Jenkins, що дозволяє виконати код на сервері. Вразливість активно використовується ботами для організації майнінгу криптовалюти на серверах;
критична вразливість у поштовому сервері Exim, що дозволяє виконати код на сервері з правами root;
Вразливості в IP-камерах Xiongmai XMeye P2P, що дозволяє захопити керування пристроєм. Камери поставлялися з інженерним паролем і не використовували при оновленні прошивки перевірку цифрового підпису;
критична вразливість у реалізації протоколу RDP у Windows, що дозволяє віддалено виконати свій код;
уразливість WordPress, пов'язана із завантаженням PHP-коду під виглядом зображення. Проблема дозволяє виконати довільний код на сервері, маючи привілеї автора публікацій (Author) на сайті;
Найкраща помилка у клієнтському ПЗ. Переможцем визнано легко експлуатовану вразливість у системі групових викликів Apple FaceTime, що дозволяє ініціатору групового виклику ініціювати примусовий прийом дзвінка на стороні абонента (наприклад, для прослуховування і підглядання).
На здобуття премії також претендували:
уразливість у WhatsApp, що дозволяє досягти виконання свого коду через відправлення спеціально оформленого голосового виклику;
уразливість у графічній бібліотеці Skia, яка використовується в браузері Chrome, яка може призвести до пошкодження пам'яті через похибку операцій з плаваючою точкою при деяких геометричних перетвореннях;
Найкраща вразливість, що призводить до підвищення привілеїв. Перемогу присуджено за виявлення уразливості у ядрі iOS, яку можна експлуатувати через ipc_voucher, доступному для звернення через Safari браузер.
На здобуття премії також претендували:
уразливість Windows, що дозволяє отримати повний контроль за системою через маніпуляції з функцією CreateWindowEx (win32k.sys). Проблема була виявлена в ході аналізу шкідливого програмного забезпечення, що експлуатувало вразливість до її виправлення;
уразливість runc і LXC, що зачіпає Docker та інші системи контейнерної ізоляції, що дозволяє з підконтрольного зловмиснику ізольованого контейнера змінити файл runc, що виконується, і отримати root-привілеї на стороні хост-системи;
уразливість iOS (CFPrefsDaemon), що дозволяє обійти режими ізоляції та виконати код з правами root;
уразливість у редакції TCP-стеку Linux, що використовується в Android, що дозволяє локальному користувачеві підняти свої привілеї на пристрої;
Вразливості у systemd-journald, що дозволяють отримати права root;
уразливість в утиліті tmpreaper для чищення /tmp, що дозволяє зберегти свій файл у будь-якій частині ФС;
Найкраща криптографічна атака. Присуджується виявлення найзначніших проломів у реальних системах, протоколах і алгоритмах шифрування. Премію присуджено за виявлення вразливостей у технології захисту бездротових мереж WPA3 та EAP-pwd, що дозволяють відтворити пароль підключення та отримати доступ до бездротової мережі без знання пароля.
Претендентами на здобуття премії також були:
метод атаки на шифрування PGP та S/MIME у поштових клієнтах;
Застосування методу холодного перезавантаження для отримання доступу до вмісту шифрованих розділів Bitlocker;
уразливість в OpenSSL, що дозволяє розділяти ситуації отримання некоректного додаткового заповнення та некоректного MAC. Проблема викликана некоректною обробкою нульових байтів у додатковому заповненні (padding oracle);
Проблеми із застосовуваними в Німеччині картами ідентифікації, що використовують SAML;
проблема з ентропією випадкових чисел у реалізації підтримки токенів U2F у СhromeOS;
уразливість в Monocypher, через яку визнавали коректними нульові сигнатури EdDSA.
Найбільш інноваційне дослідження. Премію присуджено розробнику техніки Vectorized Emulation, що використовує векторні інструкції AVX-512 для емуляції виконання програм, що дозволяє досягти суттєвого збільшення швидкості fuzzing-тестування (до 40-120 мільярдів інструкцій на секунду). Техніки дозволяє на кожному ядрі СPU паралельно виконувати 8-розрядних або 64 16-розрядних віртуальних машин з інструкціями для fuzzing-тестування програми.
На здобуття премії претендували:
уразливість у технології Power Query з MS Excel, що дозволяє організувати виконання коду та обхід методів ізоляції додатків при відкритті спеціально оформлених електронних таблиць;
метод обман автопілота автомобілів Tesla для провокування виїзду на зустрічну смугу руху;
Робота по зворотному інжинірингу ASICS чіпа Siemens S7-1200;
SonarSnoop - техніка відстеження руху пальців для визначення коду розблокування телефону, заснована на принципі роботи сонара - верхній і нижній динаміки смартфона генерують нечутні коливання, а вбудовані мікрофони вловлюють їх для аналізу відбитих від руки коливань;
Розробка в АНБ інструментарію для зворотного інжинірингу Ghidra;
SAFE — техніка визначення використання коду однакових функцій у кількох виконуваних файлах з урахуванням аналізу бінарних сборок;
Створення методу обходу механізму Intel Boot Guard для завантаження модифікованих UEFI-прошивок без перевірки цифрового підпису.
Найбільша ламерська реакція вендора (Lamest Vendor Response). Номінація за найнеадекватнішу реакцію на повідомлення про вразливість у власному продукті. Переможцем визнано розробників криптогаманця BitFi, які кричать про надбезпеку свого продукту, яка насправді виявилася уявною, влаштовують цькування на дослідників, що виявляють уразливості, і не виплачують обіцяні премії за виявлення проблем;
Серед претендентів на здобуття премії також розглядалися:
Дослідник безпеки звинуватив директора Atrient у нападі для того, щоб змусити видалити звіт про виявлену ним вразливість, але директор заперечує інцидент і камери спостереження не зафіксували цей напад;
Компанія Zoom відтягувала виправлення критичної уразливості у своїй системі конференц-зв'язку і виправила проблему лише після публічного розголосу. Вразливість дозволяла зовнішньому атакуючому отримати дані з web-камер користувачів macOS при відкритті в браузері спеціальної оформленої сторінки (zoom запускав на стороні клієнта http-сервер, який приймає команди від локальної програми).
Нездатність більше 10 років виправити проблему c серверами криптографічних ключів OpenPGP, мотивуючи тим, що код написано специфічною мовою OCaml і залишається без супроводжуючого.
Найбільш роздуте оголошення про вразливість. Присуджується за найбільш пафосне та масштабне висвітлення проблеми в інтернеті та ЗМІ, особливо якщо в результаті вразливість виявляється неексплуатованою на практиці. Премію присуджено виданню Bloomberg за заява про виявлення шпигунських чіпів у платах Super Micro, яке не підтвердилося, а джерело вказало зовсім іншу інформацію.
У номінації згадані:
Вразливість у libssh, яка торкалася одиничні серверні програми (libssh майже не використовується для серверів), але була подана NCC Group як вразливість, що дозволяє атакувати будь-який сервер OpenSSH.
Атака з використанням зображень у форматі DICOM. Суть у тому, що можна підготувати файл, що виконується для Windows, який буде виглядати як валідне зображення у форматі DICOM. Цей файл можна завантажити на медичний пристрій та виконати.
уразливість Thrangrycat, що дозволяє уникнути механізму безпечного завантаження на пристроях Cisco. Вразливість віднесена до категорії роздутих проблем оскільки вимагає для атаки прав root, але якщо атакуючий вже зміг отримати root-доступ, то про яку безпеку може йтися. Вразливість одночасно перемогла в категорії найбільш недооцінених проблем, оскільки дозволяє впровадити постійний бекдор у Flash;
Найбільший провал (Most Epic FAIL). Перемога присуджена виданню Bloomberg за низку сенсаційних статей з гучними заголовками, але придуманими фактами, замовчуванням джерел, скочуванням у теорію змов, використанням таких термінів, як «кіберзброя», та неприпустимими узагальненнями. Серед інших номінантів:
Атака Shadowhammer на обслуговування оновлення прошивок Asus;
Злам сховища BitFi, розрекламованого як «не зламується»;
Витоку персональних даних та токенів доступу до Facebook.