ProHoster > Blog > internet yangiliklari > Pwnie mukofotlari 2019: Xavfsizlikdagi eng muhim zaifliklar va nosozliklar

Pwnie mukofotlari 2019: Xavfsizlikdagi eng muhim zaifliklar va nosozliklar

Las-Vegasdagi Black Hat USA anjumanida amalga oshirildi taqdirlash marosimi Pwnie mukofotlari 2019, bu kompyuter xavfsizligi sohasidagi eng muhim zaifliklar va absurd nosozliklarni ta'kidlaydi. Pwnie mukofotlari kompyuter xavfsizligi sohasidagi “Oskar” va “Oltin malina” mukofotlarining ekvivalenti hisoblanadi va 2007 yildan beri har yili o‘tkazib kelinadi.

asosiy g'oliblar и nominatsiyalar:

  • Eng yaxshi server xatosi. Tarmoq xizmatidagi texnik jihatdan eng murakkab va qiziqarli xatolikni aniqlash va undan foydalanish uchun mukofotlanadi. G'oliblar tadqiqotchilar edi oshkor qilingan VPN xizmatidan Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, AQSh Harbiy-dengiz kuchlari, AQSh Milliy xavfsizlik departamenti (DHS) va ehtimol yarmi tomonidan foydalaniladigan VPN provayderi Pulse Securedagi zaiflik. kompaniyalar Fortune 500 ro‘yxatiga kirdi.Olimlar autentifikatsiya qilinmagan tajovuzkorga istalgan foydalanuvchining parolini o‘zgartirish imkonini beruvchi orqa eshikni topishdi. Faqat HTTPS porti ochiq bo'lgan VPN serveriga ildizga kirish uchun muammodan foydalanish imkoniyati ko'rsatildi;

    Sovrinni olmagan nomzodlar orasida quyidagilarni ta'kidlash mumkin:

    • Oldindan autentifikatsiya bosqichida ishlaydi zaiflik serverda kodni bajarish imkonini beruvchi Jenkins uzluksiz integratsiya tizimida. Zaiflik serverlarda kriptovalyuta qazib olishni tashkil qilish uchun botlar tomonidan faol foydalaniladi;
    • Tanqidiy zaiflik ildiz huquqlari bilan serverda kodni bajarishga imkon beruvchi Exim pochta serverida;
    • Zaifliklar Xiongmai XMeye P2P IP kameralarida, bu sizga qurilmani boshqarish imkonini beradi. Kameralar muhandislik paroli bilan ta'minlangan va mikrodasturni yangilashda raqamli imzoni tekshirishdan foydalanmagan;
    • Tanqidiy zaiflik Windows-da RDP protokolini amalga oshirishda, bu sizning kodingizni masofadan turib bajarishga imkon beradi;
    • Zaiflik WordPress-da, tasvir niqobi ostida PHP kodini yuklash bilan bog'liq. Muammo saytdagi nashrlar muallifi (Muallif) imtiyozlariga ega bo'lgan serverda o'zboshimchalik bilan kodni bajarishga imkon beradi;
  • Eng yaxshi mijoz dasturiy xatosi. G'olib foydalanish oson bo'ldi zaiflik Apple FaceTime guruh qo'ng'iroqlari tizimida, guruh qo'ng'irog'i tashabbuskoriga qo'ng'iroqni chaqiruvchi tomonidan qabul qilishga majburlash imkonini beradi (masalan, tinglash va kuzatish uchun).

    Shuningdek, mukofotga nomzodlar:

    • Zaiflik maxsus ishlab chiqilgan ovozli qo'ng'iroqni yuborish orqali kodingizni bajarishga imkon beruvchi WhatsApp-da;
    • Zaiflik Chrome brauzerida ishlatiladigan Skia grafik kutubxonasida, bu ba'zi geometrik o'zgarishlarda suzuvchi nuqta xatolari tufayli xotira buzilishiga olib kelishi mumkin;
  • Imtiyozlarning eng yaxshi ko'tarilishi zaifligi. G'alaba aniqlash uchun berildi zaifliklar Safari brauzeri orqali kirish mumkin bo'lgan ipc_voucher orqali foydalanish mumkin bo'lgan iOS yadrosida.

    Shuningdek, mukofotga nomzodlar:

    • Zaiflik Windows tizimida CreateWindowEx (win32k.sys) funksiyasi yordamida manipulyatsiyalar orqali tizim ustidan toʻliq nazoratni qoʻlga kiritish imkonini beradi. Muammo bartaraf etilishidan oldin zaiflikdan foydalangan zararli dasturlarni tahlil qilish jarayonida aniqlandi;
    • Zaiflik runc va LXC da, Docker va boshqa konteyner izolyatsiyalash tizimlariga ta'sir qiladi, bu tajovuzkor tomonidan boshqariladigan izolyatsiyalangan konteynerga runc bajariladigan faylini o'zgartirish va xost tizimi tomonida ildiz huquqlarini olish imkonini beradi;
    • Zaiflik iOS (CFPrefsDaemon) da, bu izolyatsiya rejimlarini chetlab o'tish va kodni ildiz huquqlari bilan bajarish imkonini beradi;
    • Zaiflik Android-da ishlatiladigan Linux TCP stekining nashrida mahalliy foydalanuvchiga qurilmada o'z imtiyozlarini oshirishga imkon beradi;
    • Zaifliklar root huquqlarini olish imkonini beruvchi systemd-journald da;
    • Zaiflik faylingizni fayl tizimining istalgan qismida saqlash imkonini beruvchi /tmp tozalash uchun tmpreaper yordam dasturida;
  • Eng yaxshi kriptografik hujum. Haqiqiy tizimlar, protokollar va shifrlash algoritmlaridagi eng muhim kamchiliklarni aniqlash uchun mukofotlanadi. Mukofot aniqlash uchun berildi zaifliklar WPA3 simsiz tarmoq xavfsizligi texnologiyasi va EAP-pwd da, bu ulanish parolini qayta yaratish va parolni bilmasdan simsiz tarmoqqa kirish imkonini beradi.

    Mukofot uchun boshqa nomzodlar:

    • usul elektron pochta mijozlaridagi PGP va S/MIME shifrlashiga hujumlar;
    • ariza shifrlangan Bitlocker bo'limlari tarkibiga kirish uchun sovuq yuklash usuli;
    • Zaiflik OpenSSL-da, bu sizga noto'g'ri to'ldirish va noto'g'ri MAC olish holatlarini ajratish imkonini beradi. Muammo padding oracle'da nol baytlarni noto'g'ri ishlatishdan kelib chiqadi;
    • Muammolar SAML yordamida Germaniyada ishlatiladigan ID kartalari bilan;
    • muammo ChromeOS-da U2F tokenlarini qo'llab-quvvatlashni amalga oshirishda tasodifiy sonlar entropiyasi bilan;
    • Zaiflik Monocypher-da, buning natijasida EdDSA null imzolari to'g'ri deb topildi.
  • Eng innovatsion tadqiqot. Mukofot texnologiyani ishlab chiquvchiga topshirildi Vektorlashtirilgan emulyatsiya, bu dastur bajarilishini taqlid qilish uchun AVX-512 vektor ko'rsatmalaridan foydalanadi, bu esa fuzzing test tezligini sezilarli darajada oshirishga imkon beradi (sekundiga 40-120 milliard ko'rsatmalargacha). Texnika har bir protsessor yadrosiga 8 ta 64-bitli yoki 16 ta 32-bitli virtual mashinalarni ilovani noaniq sinovdan oʻtkazish boʻyicha koʻrsatmalar bilan parallel ravishda ishga tushirishga imkon beradi.

    Quyidagilar mukofotga loyiq edi:

    • Zaiflik maxsus ishlab chiqilgan elektron jadvallarni ochishda kod bajarilishini tashkil qilish va ilovalarni izolyatsiyalash usullarini chetlab o'tish imkonini beruvchi MS Excel kompaniyasining Power Query texnologiyasida;
    • usul Tesla avtomashinalarining avtopilotini aldab, qarama-qarshi chiziqqa haydashni qo'zg'atish;
    • ish ASICS chipining teskari muhandisligi Siemens S7-1200;
    • SonarSnoop - sonarning ishlash printsipi asosida telefonni qulfdan chiqarish kodini aniqlash uchun barmoq harakatini kuzatish texnikasi - smartfonning yuqori va pastki dinamiklari eshitilmaydigan tebranishlarni hosil qiladi va o'rnatilgan mikrofonlar tebranishlar mavjudligini tahlil qilish uchun ularni qabul qiladi. qo'l;
    • Rivojlanish NSA Ghidra teskari muhandislik asboblar to'plami;
    • XAVFSIZLIK — ikkilik yig'ilishlarni tahlil qilish asosida bir nechta bajariladigan fayllarda bir xil funktsiyalar uchun koddan foydalanishni aniqlash usuli;
    • yaratilish raqamli imzo tekshiruvisiz o'zgartirilgan UEFI mikrodasturini yuklash uchun Intel Boot Guard mexanizmini chetlab o'tish usuli.
  • Sotuvchining eng oqsoq reaksiyasi (Eng so'nggi sotuvchining javobi). O'z mahsulotingizdagi zaiflik haqidagi xabarga eng noadekvat javob uchun nomzodlik. G'oliblar BitFi kripto hamyonini ishlab chiquvchilari bo'lib, ular o'z mahsulotining o'ta xavfsizligi haqida baqiradilar, ular haqiqatda xayoliy bo'lib chiqdi, zaif tomonlarini aniqlaydigan tadqiqotchilarni bezovta qiladilar va muammolarni aniqlash uchun va'da qilingan bonuslarni to'lamaydilar;

    Mukofotga da'vogarlar orasida quyidagilar ham ko'rib chiqildi:

    • Xavfsizlik bo'yicha tadqiqotchi Atrient direktorini o'zi aniqlagan zaiflik haqidagi hisobotni olib tashlashga majburlash uchun unga hujum qilganlikda aybladi, ammo direktor voqeani inkor etadi va kuzatuv kameralari hujumni qayd etmagan;
    • Muhim muammoni hal qilishda masshtablash kechiktirildi zaifliklar konferentsiya tizimida va muammoni faqat jamoatchilikka oshkor qilingandan keyin tuzatdi. Zaiflik tashqi tajovuzkorga brauzerda maxsus ishlab chiqilgan sahifani ochishda macOS foydalanuvchilarining veb-kameralaridan ma’lumotlarni olish imkonini berdi (Zoom mijoz tomonida mahalliy ilovadan buyruqlar olgan http serverini ishga tushirdi).
    • 10 yildan ortiq vaqt davomida tuzatmaslik muammo OpenPGP kriptografik kalit serverlari bilan, kod ma'lum bir OCaml tilida yozilganligi va texnik xizmat ko'rsatuvchisiz qolishi bilan izohlanadi.

    Haligacha eng shov-shuvli zaiflik e'loni. Internet va ommaviy axborot vositalarida muammoning eng ayanchli va keng ko'lamli yoritilishi uchun mukofotlanadi, ayniqsa zaiflik oxir-oqibat amalda ishlatib bo'lmaydigan bo'lib chiqsa. Mukofot Bloombergga topshirildi bayonot Super Micro platalarida ayg'oqchi chiplarni aniqlash haqida, bu tasdiqlanmagan va manba aniq ko'rsatilgan boshqa ma'lumotlar.

    Nominatsiyada qayd etilganlar:

    • Libssh-da zaiflik, bu tegdi yagona server ilovalari (libssh deyarli serverlar uchun ishlatilmaydi), lekin NCC Group tomonidan har qanday OpenSSH serveriga hujum qilishga imkon beruvchi zaiflik sifatida taqdim etilgan.
    • DICOM tasvirlari yordamida hujum. Gap shundaki, siz Windows uchun haqiqiy DICOM tasviriga o'xshash bajariladigan faylni tayyorlashingiz mumkin. Ushbu faylni tibbiy qurilmaga yuklab olish va ishga tushirish mumkin.
    • Zaiflik Thrangrycat, bu Cisco qurilmalarida xavfsiz yuklash mexanizmini chetlab o'tish imkonini beradi. Zaiflik haddan tashqari oshirilgan muammo sifatida tasniflanadi, chunki u hujum qilish uchun ildiz huquqlarini talab qiladi, ammo agar tajovuzkor allaqachon ildizga kirishga muvaffaq bo'lgan bo'lsa, unda qanday xavfsizlik haqida gapirish mumkin. Zaiflik eng kam baholangan muammolar toifasida ham g'olib bo'ldi, chunki u Flash-ga doimiy orqa eshikni kiritish imkonini beradi;
  • Eng katta muvaffaqiyatsizlik (Eng epik muvaffaqiyatsiz). G'alaba Bloombergga baland sarlavhalar, lekin uydirma faktlar, manbalarni bostirish, fitna nazariyalariga tushish, "kiberqurol" kabi atamalardan foydalanish va qabul qilib bo'lmaydigan umumlashtirishlar bilan shov-shuvli maqolalar seriyasi uchun berildi. Boshqa nomzodlar orasida:
    • Asus proshivka yangilash xizmatiga Shadowhammer hujumi;
    • “Buzib boʻlmaydigan” deb eʼlon qilingan BitFi omborini buzish;
    • Shaxsiy ma'lumotlarning sizib chiqishi va tokenlar Facebook-ga kirish.

Manba: opennet.ru

a Izoh qo'shish