ProHoster > Блог > Новини інтернету > Pwnie Awards 2019: найбільш суттєві вразливості та провали у безпеці

Pwnie Awards 2019: найбільш суттєві вразливості та провали у безпеці

На конференції Black Hat USA, що відбулася в Лас Вегасі. відбулася церемонія вручення премії Pwnie Awards 2019, в рамках якої виділено найбільш значні вразливості та абсурдні провали в галузі комп'ютерної безпеки. Pwnie Awards вважається аналогом Оскара та Золотої малини в галузі комп'ютерної безпеки та проводиться щорічно, починаючи з 2007 року.

Основні переможці и номінації:

  • Найкраща серверна помилка. Присуджується за виявлення та експлуатацію найбільш технічно складної та цікавої помилки у мережевому сервісі. Переможцями визнано дослідників, виявили вразливість у VPN-провайдера Pulse Secure, VPN-сервіс якого використовується в Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, Військово-морських силах США, Міністерстві національної безпеки (МНБ) США та ймовірно в половині компаній зі списку Fortune 500. Дослідниками було знайдено бекдор, що дозволяє неавтентифікованому атакуючому змінити пароль будь-якого користувача. Продемонстровано можливість експлуатації проблеми для отримання root-доступу до сервера VPN, на якому відкрито лише порт HTTPS;

    З претендентів, які не отримали премію, можна відзначити:

    • Експлуатована на стадії до проходження аутентифікації вразливість у системі безперервної інтеграції Jenkins, що дозволяє виконати код на сервері. Вразливість активно використовується ботами для організації майнінгу криптовалюти на серверах;
    • критична вразливість у поштовому сервері Exim, що дозволяє виконати код на сервері з правами root;
    • Вразливості в IP-камерах Xiongmai XMeye P2P, що дозволяє захопити керування пристроєм. Камери поставлялися з інженерним паролем і не використовували при оновленні прошивки перевірку цифрового підпису;
    • критична вразливість у реалізації протоколу RDP у Windows, що дозволяє віддалено виконати свій код;
    • уразливість WordPress, пов'язана із завантаженням PHP-коду під виглядом зображення. Проблема дозволяє виконати довільний код на сервері, маючи привілеї автора публікацій (Author) на сайті;
  • Найкраща помилка у клієнтському ПЗ. Переможцем визнано легко експлуатовану вразливість у системі групових викликів Apple FaceTime, що дозволяє ініціатору групового виклику ініціювати примусовий прийом дзвінка на стороні абонента (наприклад, для прослуховування і підглядання).

    На здобуття премії також претендували:

    • уразливість у WhatsApp, що дозволяє досягти виконання свого коду через відправлення спеціально оформленого голосового виклику;
    • уразливість у графічній бібліотеці Skia, яка використовується в браузері Chrome, яка може призвести до пошкодження пам'яті через похибку операцій з плаваючою точкою при деяких геометричних перетвореннях;
  • Найкраща вразливість, що призводить до підвищення привілеїв. Перемогу присуджено за виявлення уразливості у ядрі iOS, яку можна експлуатувати через ipc_voucher, доступному для звернення через Safari браузер.

    На здобуття премії також претендували:

    • уразливість Windows, що дозволяє отримати повний контроль за системою через маніпуляції з функцією CreateWindowEx (win32k.sys). Проблема була виявлена ​​в ході аналізу шкідливого програмного забезпечення, що експлуатувало вразливість до її виправлення;
    • уразливість runc і LXC, що зачіпає Docker та інші системи контейнерної ізоляції, що дозволяє з підконтрольного зловмиснику ізольованого контейнера змінити файл runc, що виконується, і отримати root-привілеї на стороні хост-системи;
    • уразливість iOS (CFPrefsDaemon), що дозволяє обійти режими ізоляції та виконати код з правами root;
    • уразливість у редакції TCP-стеку Linux, що використовується в Android, що дозволяє локальному користувачеві підняти свої привілеї на пристрої;
    • Вразливості у systemd-journald, що дозволяють отримати права root;
    • уразливість в утиліті tmpreaper для чищення /tmp, що дозволяє зберегти свій файл у будь-якій частині ФС;
  • Найкраща криптографічна атака. Присуджується виявлення найзначніших проломів у реальних системах, протоколах і алгоритмах шифрування. Премію присуджено за виявлення вразливостей у технології захисту бездротових мереж WPA3 та EAP-pwd, що дозволяють відтворити пароль підключення та отримати доступ до бездротової мережі без знання пароля.

    Претендентами на здобуття премії також були:

    • метод атаки на шифрування PGP та S/MIME у поштових клієнтах;
    • Застосування методу холодного перезавантаження для отримання доступу до вмісту шифрованих розділів Bitlocker;
    • уразливість в OpenSSL, що дозволяє розділяти ситуації отримання некоректного додаткового заповнення та некоректного MAC. Проблема викликана некоректною обробкою нульових байтів у додатковому заповненні (padding oracle);
    • Проблеми із застосовуваними в Німеччині картами ідентифікації, що використовують SAML;
    • проблема з ентропією випадкових чисел у реалізації підтримки токенів U2F у СhromeOS;
    • уразливість в Monocypher, через яку визнавали коректними нульові сигнатури EdDSA.
  • Найбільш інноваційне дослідження. Премію присуджено розробнику техніки Vectorized Emulation, що використовує векторні інструкції AVX-512 для емуляції виконання програм, що дозволяє досягти суттєвого збільшення швидкості fuzzing-тестування (до 40-120 мільярдів інструкцій на секунду). Техніки дозволяє на кожному ядрі СPU паралельно виконувати 8-розрядних або 64 16-розрядних віртуальних машин з інструкціями для fuzzing-тестування програми.

    На здобуття премії претендували:

    • уразливість у технології Power Query з MS Excel, що дозволяє організувати виконання коду та обхід методів ізоляції додатків при відкритті спеціально оформлених електронних таблиць;
    • метод обман автопілота автомобілів Tesla для провокування виїзду на зустрічну смугу руху;
    • Робота по зворотному інжинірингу ASICS чіпа Siemens S7-1200;
    • SonarSnoop - техніка відстеження руху пальців для визначення коду розблокування телефону, заснована на принципі роботи сонара - верхній і нижній динаміки смартфона генерують нечутні коливання, а вбудовані мікрофони вловлюють їх для аналізу відбитих від руки коливань;
    • Розробка в АНБ інструментарію для зворотного інжинірингу Ghidra;
    • SAFE — техніка визначення використання коду однакових функцій у кількох виконуваних файлах з урахуванням аналізу бінарних сборок;
    • Створення методу обходу механізму Intel Boot Guard для завантаження модифікованих UEFI-прошивок без перевірки цифрового підпису.
  • Найбільша ламерська реакція вендора (Lamest Vendor Response). Номінація за найнеадекватнішу реакцію на повідомлення про вразливість у власному продукті. Переможцем визнано розробників криптогаманця BitFi, які кричать про надбезпеку свого продукту, яка насправді виявилася уявною, влаштовують цькування на дослідників, що виявляють уразливості, і не виплачують обіцяні премії за виявлення проблем;

    Серед претендентів на здобуття премії також розглядалися:

    • Дослідник безпеки звинуватив директора Atrient у нападі для того, щоб змусити видалити звіт про виявлену ним вразливість, але директор заперечує інцидент і камери спостереження не зафіксували цей напад;
    • Компанія Zoom відтягувала виправлення критичної уразливості у своїй системі конференц-зв'язку і виправила проблему лише після публічного розголосу. Вразливість дозволяла зовнішньому атакуючому отримати дані з web-камер користувачів macOS при відкритті в браузері спеціальної оформленої сторінки (zoom запускав на стороні клієнта http-сервер, який приймає команди від локальної програми).
    • Нездатність більше 10 років виправити проблему c серверами криптографічних ключів OpenPGP, мотивуючи тим, що код написано специфічною мовою OCaml і залишається без супроводжуючого.

    Найбільш роздуте оголошення про вразливість. Присуджується за найбільш пафосне та масштабне висвітлення проблеми в інтернеті та ЗМІ, особливо якщо в результаті вразливість виявляється неексплуатованою на практиці. Премію присуджено виданню Bloomberg за заява про виявлення шпигунських чіпів у платах Super Micro, яке не підтвердилося, а джерело вказало зовсім іншу інформацію.

    У номінації згадані:

    • Вразливість у libssh, яка торкалася одиничні серверні програми (libssh майже не використовується для серверів), але була подана NCC Group як вразливість, що дозволяє атакувати будь-який сервер OpenSSH.
    • Атака з використанням зображень у форматі DICOM. Суть у тому, що можна підготувати файл, що виконується для Windows, який буде виглядати як валідне зображення у форматі DICOM. Цей файл можна завантажити на медичний пристрій та виконати.
    • уразливість Thrangrycat, що дозволяє уникнути механізму безпечного завантаження на пристроях Cisco. Вразливість віднесена до категорії роздутих проблем оскільки вимагає для атаки прав root, але якщо атакуючий вже зміг отримати root-доступ, то про яку безпеку може йтися. Вразливість одночасно перемогла в категорії найбільш недооцінених проблем, оскільки дозволяє впровадити постійний бекдор у Flash;
  • Найбільший провал (Most Epic FAIL). Перемога присуджена виданню Bloomberg за низку сенсаційних статей з гучними заголовками, але придуманими фактами, замовчуванням джерел, скочуванням у теорію змов, використанням таких термінів, як «кіберзброя», та неприпустимими узагальненнями. Серед інших номінантів:
    • Атака Shadowhammer на обслуговування оновлення прошивок Asus;
    • Злам сховища BitFi, розрекламованого як «не зламується»;
    • Витоку персональних даних та токенів доступу до Facebook.

Джерело: opennet.ru

Додати коментар або відгук