ProHoster > Блог > ayelujara iroyin > Awọn ẹbun Pwnie 2019: Awọn ailagbara Aabo Pataki julọ ati Awọn Ikuna

Awọn ẹbun Pwnie 2019: Awọn ailagbara Aabo Pataki julọ ati Awọn Ikuna

Ni Black Hat USA alapejọ ni Las Vegas waye eye ayeye Awọn ẹbun Pwnie 2019, eyi ti o ṣe afihan awọn ipalara ti o ṣe pataki julọ ati awọn ikuna aiṣedeede ni aaye ti aabo kọmputa. Awọn Awards Pwnie ni a gba pe o jẹ deede ti Oscars ati Golden Raspberries ni aaye aabo kọnputa ati pe o ti waye ni ọdọọdun lati ọdun 2007.

akọkọ bori и yiyan:

  • Kokoro olupin to dara julọ. Ti a fun ni idamọ ati lo nilokulo eka imọ-ẹrọ pupọ julọ ati kokoro ti o nifẹ ninu iṣẹ nẹtiwọọki kan. Awọn olubori ni awọn oluwadii fi han ailagbara ninu Olupese VPN Pulse Secure, ti iṣẹ VPN rẹ lo nipasẹ Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, Ọgagun AMẸRIKA, Ẹka Aabo Ile-Ile AMẸRIKA (DHS) ati boya idaji awọn awọn ile-iṣẹ lati inu atokọ Fortune 500. Awọn oniwadi ti rii ẹhin ẹhin ti o fun laaye ikọlu ti ko ni ijẹrisi lati yi ọrọ igbaniwọle ti olumulo eyikeyi pada. O ṣeeṣe lati lo iṣoro naa lati ni iraye si root si olupin VPN lori eyiti ibudo HTTPS nikan ti ṣii ni a ti ṣafihan;

    Lara awọn oludije ti ko gba ẹbun naa, atẹle naa le ṣe akiyesi:

    • Ṣiṣẹ ni ipele iṣaaju-ifọwọsi ailagbara ni Jenkins lemọlemọfún Integration eto, eyi ti o faye gba o lati ṣiṣẹ koodu lori olupin. Ailagbara naa ni a lo lọwọ nipasẹ awọn bot lati ṣeto iwakusa cryptocurrency lori awọn olupin;
    • Lominu ni ailagbara ninu olupin mail Exim, eyiti o fun ọ laaye lati ṣiṣẹ koodu lori olupin pẹlu awọn ẹtọ gbongbo;
    • Awọn ailagbara ni awọn kamẹra IP Xiongmai XMeye P2P, gbigba ọ laaye lati ṣakoso ẹrọ naa. Awọn kamẹra naa ni a pese pẹlu ọrọ igbaniwọle imọ-ẹrọ ati pe ko lo ijẹrisi Ibuwọlu oni nọmba nigbati o nmu imudojuiwọn famuwia naa;
    • Lominu ni ailagbara ni imuse ti ilana RDP ni Windows, eyiti o fun ọ laaye lati ṣiṣẹ koodu rẹ latọna jijin;
    • Ipalara ni Wodupiresi, ti o ni nkan ṣe pẹlu ikojọpọ koodu PHP labẹ itanjẹ aworan kan. Iṣoro naa gba ọ laaye lati ṣiṣẹ koodu lainidii lori olupin naa, nini awọn anfani ti onkọwe ti awọn atẹjade (Onkọwe) lori aaye naa;
  • Kokoro Software Onibara ti o dara julọ. Awọn Winner wà ni rọrun-si-lilo ailagbara ninu eto ipe ẹgbẹ Apple FaceTime, gbigba olupilẹṣẹ ti ipe ẹgbẹ kan lati fi ipa mu ipe lati gba nipasẹ ẹgbẹ ti a pe (fun apẹẹrẹ, fun gbigbọ ati snooping).

    Bakanna ti a yan fun ẹbun naa ni:

    • Ipalara ni WhatsApp, eyiti o fun ọ laaye lati ṣiṣẹ koodu rẹ nipa fifiranṣẹ ipe ohun ti a ṣe apẹrẹ pataki;
    • Ipalara ninu ile-ikawe awọn aworan Skia ti a lo ninu ẹrọ aṣawakiri Chrome, eyiti o le ja si ibajẹ iranti nitori awọn aṣiṣe aaye lilefoofo ni diẹ ninu awọn iyipada jiometirika;
  • Igbega ti o dara julọ ti Ipalara Anfani. Iṣẹgun ni a fun ni idanimọ ailagbara ninu ekuro iOS, eyiti o le lo nipasẹ ipc_voucher, ti o wa nipasẹ ẹrọ aṣawakiri Safari.

    Bakanna ti a yan fun ẹbun naa ni:

    • Ipalara ni Windows, gbigba ọ laaye lati ni iṣakoso ni kikun lori eto nipasẹ awọn ifọwọyi pẹlu iṣẹ CreateWindowEx (win32k.sys). A ṣe idanimọ iṣoro naa lakoko itupalẹ malware ti o lo ailagbara ṣaaju ki o to tunṣe;
    • Ipalara ni runc ati LXC, ti o kan Docker ati awọn eto ipinya eiyan miiran, gbigba ohun elo ti o ya sọtọ ti o ṣakoso nipasẹ ikọlu lati yi faili ṣiṣe runc pada ati gba awọn anfani gbongbo ni ẹgbẹ eto ogun;
    • Ipalara ni iOS (CFPrefsDaemon), eyiti o fun ọ laaye lati fori awọn ipo ipinya ati ṣiṣẹ koodu pẹlu awọn ẹtọ gbongbo;
    • Ipalara ninu ẹda Linux TCP akopọ ti a lo ninu Android, gbigba olumulo agbegbe laaye lati gbe awọn anfani wọn ga lori ẹrọ naa;
    • Awọn ailagbara ni systemd-journald, eyiti o fun ọ laaye lati jèrè awọn ẹtọ gbongbo;
    • Ipalara ninu ohun elo tmpreaper fun mimọ / tmp, eyiti o fun ọ laaye lati fipamọ faili rẹ ni eyikeyi apakan ti eto faili;
  • Ti o dara ju Cryptographic Attack. Ti a funni fun idamo awọn ela pataki julọ ni awọn eto gidi, awọn ilana ati awọn algoridimu fifi ẹnọ kọ nkan. A gba ẹbun naa fun idanimọ ailagbara ni WPA3 imọ-ẹrọ aabo nẹtiwọọki alailowaya ati EAP-pwd, eyiti o fun ọ laaye lati tun ọrọ igbaniwọle asopọ pada ki o wọle si nẹtiwọọki alailowaya laisi mimọ ọrọ igbaniwọle.

    Awọn oludije miiran fun ẹbun naa ni:

    • Ọna kolu lori PGP ati S/MIME ìsekóòdù ni imeeli ibara;
    • ohun elo Ọna bata tutu lati ni iraye si awọn akoonu ti awọn ipin Bitlocker ti paroko;
    • Ipalara ni OpenSSL, eyiti o fun ọ laaye lati ya awọn ipo ti gbigba padding ti ko tọ ati MAC ti ko tọ. Iṣoro naa jẹ nitori mimu aiṣedeede ti awọn baiti odo ni padding oracle;
    • Isoro pẹlu awọn kaadi ID ti a lo ni Germany nipa lilo SAML;
    • Isoro pẹlu entropy ti awọn nọmba ID ni imuse ti atilẹyin fun awọn ami U2F ni ChromeOS;
    • Ipalara ni Monocypher, nitori eyiti awọn ibuwọlu EdDSA asan ni a mọ bi deede.
  • Awọn julọ aseyori iwadi lailai. Ebun naa ni a fun ni fun oludasile ti imọ-ẹrọ Vectorized emulation, eyiti o nlo awọn itọnisọna fekito AVX-512 lati ṣe apẹẹrẹ ipaniyan eto, gbigba fun ilosoke pataki ni iyara idanwo fuzzing (to awọn ilana 40-120 bilionu fun iṣẹju keji). Ilana naa ngbanilaaye mojuto Sipiyu kọọkan lati ṣiṣẹ 8 64-bit tabi awọn ẹrọ foju 16 32-bit ni afiwe pẹlu awọn ilana fun idanwo iruju ti ohun elo naa.

    Awọn atẹle wọnyi ni ẹtọ fun ẹbun naa:

    • Ipalara ni imọ-ẹrọ Ibeere Agbara lati MS Excel, eyiti o fun ọ laaye lati ṣeto ipaniyan koodu ati awọn ọna ipinya ohun elo fori nigba ṣiṣi awọn iwe kaakiri ti a ṣe apẹrẹ pataki;
    • Ọna tàn autopilot ti awọn ọkọ ayọkẹlẹ Tesla lati fa awakọ sinu ọna ti nbọ;
    • iṣẹ yiyipada ẹrọ ti ASICS ërún Siemens S7-1200;
    • SonarSnoop - ilana ipasẹ ika ika lati pinnu koodu ṣiṣi foonu, ti o da lori ipilẹ ti iṣẹ sonar - awọn agbohunsoke oke ati isalẹ ti foonuiyara ṣe ipilẹṣẹ awọn gbigbọn ina, ati awọn microphones ti a ṣe sinu gbe wọn lati ṣe itupalẹ wiwa ti awọn gbigbọn ti o han lati inu ọwọ;
    • Idagbasoke ohun elo irinṣẹ yiyipada Ghidra ti NSA;
    • Ailewu - ilana kan fun ipinnu lilo koodu fun awọn iṣẹ kanna ni ọpọlọpọ awọn faili ṣiṣe ti o da lori itupalẹ awọn apejọ alakomeji;
    • Ṣẹda ọna kan lati fori ẹrọ Intel Boot Guard lati fifuye famuwia UEFI ti a yipada laisi ijẹrisi ibuwọlu oni nọmba.
  • Awọn julọ arọ lenu lati a ataja (Idahun Olutaja Lamest). Yiyan fun esi ti ko pe julọ si ifiranṣẹ kan nipa ailagbara ninu ọja tirẹ. Awọn olubori ni awọn olupilẹṣẹ ti apamọwọ crypto BitFi, ti o kigbe nipa ultra-aabo ti ọja wọn, eyiti o wa ni otitọ pe o jẹ oju inu, ti o ni ipalara awọn oluwadi ti o ṣe idanimọ awọn ipalara, ati pe ko san awọn imoriri ileri fun idamo awọn iṣoro;

    Lara awọn olubẹwẹ fun ẹbun naa tun gbero:

    • Oluwadi aabo kan fi ẹsun kan oludari Atrient pe o kọlu u lati fi ipa mu u lati yọ ijabọ kan kuro lori ailagbara ti o ṣe idanimọ, ṣugbọn oludari kọ iṣẹlẹ naa ati awọn kamẹra iwo-kakiri ko ṣe igbasilẹ ikọlu naa;
    • Sun-un idaduro titunṣe iṣoro pataki ailagbara ninu eto apejọ rẹ ati ṣatunṣe iṣoro naa nikan lẹhin ifihan gbangba. Ailagbara naa jẹ ki ikọlu ita lati gba data lati awọn kamẹra wẹẹbu ti awọn olumulo macOS nigbati o ṣii oju-iwe apẹrẹ pataki kan ninu ẹrọ aṣawakiri (Sun ṣe ifilọlẹ olupin http ni ẹgbẹ alabara ti o gba awọn aṣẹ lati ohun elo agbegbe).
    • Ikuna lati ṣe atunṣe fun diẹ ẹ sii ju ọdun 10 lọ iṣoro pẹlu awọn olupin bọtini cryptographic OpenPGP, tọka si otitọ pe koodu ti kọ ni ede OCaml kan pato ati pe o wa laisi olutọju kan.

    Ikede ailagbara ti o pọ julọ sibẹsibẹ. Ti a funni fun itọsi pupọ julọ ati agbegbe iwọn-nla ti iṣoro naa lori Intanẹẹti ati awọn media, ni pataki ti ailagbara naa nikẹhin ba jade lati jẹ aibikita ni iṣe. Awọn joju ti a fun un to Bloomberg fun gbólóhùn nipa idanimọ ti awọn eerun Ami ni awọn igbimọ Super Micro, eyiti ko jẹrisi, ati pe orisun naa tọka si patapata. miiran alaye.

    Ti mẹnuba ninu yiyan:

    • Ailagbara ni libssh, eyiti fi ọwọ kan Awọn ohun elo olupin ẹyọkan (libssh fẹrẹ ko lo fun awọn olupin), ṣugbọn Ẹgbẹ NCC gbekalẹ bi ailagbara ti o fun laaye ikọlu eyikeyi olupin OpenSSH.
    • Ikọlu nipa lilo awọn aworan DICOM. Oro naa ni pe o le mura faili ti o le ṣiṣẹ fun Windows ti yoo dabi aworan DICOM to wulo. Faili yii le ṣe igbasilẹ si ẹrọ iṣoogun ati ṣiṣe.
    • Ipalara Thrangrycat, eyi ti o faye gba o lati fori ni aabo bata siseto lori Sisiko awọn ẹrọ. Ailagbara naa jẹ ipin bi iṣoro apọju nitori pe o nilo awọn ẹtọ gbongbo lati kọlu, ṣugbọn ti o ba ti ni anfani tẹlẹ lati ni iwọle gbongbo, lẹhinna aabo wo ni a le sọrọ nipa. Ailagbara naa tun gba ninu ẹka ti awọn iṣoro ti ko ni idiyele, bi o ṣe gba ọ laaye lati ṣafihan ẹhin ẹhin ti o yẹ sinu Flash;
  • Ikuna ti o tobi julọ (Pulu apọju). Iṣẹgun naa ni a fun ni Bloomberg fun lẹsẹsẹ awọn nkan ti o ni itara pẹlu awọn akọle ti npariwo ṣugbọn awọn ododo ti a ṣe, didi awọn orisun, iran sinu awọn imọ-ọrọ iditẹ, lilo awọn ofin bii “awọn ohun ija cyber”, ati awọn gbogbogbo ti ko ṣe itẹwọgba. Awọn yiyan miiran pẹlu:
    • Ikọlu Shadowhammer lori iṣẹ imudojuiwọn famuwia Asus;
    • Sakasaka a BitFi ifinkan polowo bi "unhackable";
    • N jo ti ara ẹni data ati àmi wiwọle si Facebook.

orisun: opennet.ru

Fi ọrọìwòye kun