主持人 > 博客 > 网络新闻 > 2019 年 Pwnie 奖:最重大的安全漏洞和故障

2019 年 Pwnie 奖:最重大的安全漏洞和故障

在拉斯维加斯举行的 Black Hat USA 会议上 发生 颁奖仪式 2019 年 Pwnie 奖,其中突出了计算机安全领域最重大的漏洞和荒谬的失败。 Pwnie 奖被认为相当于计算机安全领域的奥斯卡奖和金酸莓奖,自 2007 年起每年举办一次。

得奖者 и 提名:

  • 最佳服务器错误。 因识别和利用网络服务中技术最复杂和最有趣的错误而获奖。 获奖者是研究人员 透露 VPN 提供商 Pulse Secure 中的漏洞,其 VPN 服务被 Twitter、Uber、微软、SLA、SpaceX、Akamai、英特尔、IBM、VMware、美国海军、美国国土安全部 (DHS) 以及可能一半的用户使用财富 500 强企业。研究人员发现了一个后门,允许未经身份验证的攻击者更改任何用户的密码。 已经证明了利用该问题获得对仅开放 HTTPS 端口的 VPN 服务器的 root 访问权限的可能性;

    未获奖的候选人中,有以下情况:

    • 在预认证阶段操作 漏洞 在Jenkins持续集成系统中,它允许您在服务器上执行代码。 该漏洞被机器人积极利用,在服务器上组织加密货币挖掘;
    • 危急 漏洞 在Exim邮件服务器中,它允许您以root权限在服务器上执行代码;
    • 漏洞 雄迈XMeye P2P网络摄像机,让您掌控设备。 相机附带工程密码,更新固件时未使用数字签名验证;
    • 危急 漏洞 在Windows中实现RDP协议,它允许您远程执行您的代码;
    • 漏洞 在 WordPress 中,与以图像的形式加载 PHP 代码相关。 该问题允许您在服务器上执行任意代码,拥有网站上出版物的作者(Author)的权限;
  • 最佳客户端软件错误。 获胜者是易于使用的 漏洞 在Apple FaceTime群组呼叫系统中,允许群组呼叫的发起者强制被叫方接受呼叫(例如,用于监听和窥探)。

    获得该奖项提名的还有:

    • 漏洞 在 WhatsApp 中,它允许您通过发送专门设计的语音呼叫来执行您的代码;
    • 漏洞 Chrome浏览器使用的Skia图形库中,由于某些几何变换中的浮点错误,可能会导致内存损坏;
  • 最佳特权提升漏洞。 胜利被授予识别 弱点 在 iOS 内核中,可以通过 ipc_voucher 进行利用,可通过 Safari 浏览器访问。

    获得该奖项提名的还有:

    • 漏洞 在 Windows 中,允许您通过使用 CreateWindowEx (win32k.sys) 函数进行操作来完全控制系统。 该问题是在分析利用该漏洞的恶意软件时发现的,然后才修复的;
    • 漏洞 runc和LXC中,影响Docker和其他容器隔离系统,允许攻击者控制的隔离容器更改runc可执行文件并获得主机系统侧的root权限;
    • 漏洞 在iOS(CFPrefsDaemon)中,它允许您绕过隔离模式并以root权限执行代码;
    • 漏洞 在 Android 使用的 Linux TCP 堆栈版本中,允许本地用户提升其在设备上的权限;
    • 漏洞 在systemd-journald中,它可以让你获得root权限;
    • 漏洞 在 tmpreaper 实用程序中用于清理 /tmp,它允许您将文件保存在文件系统的任何部分;
  • 最佳密码攻击。 因发现实际系统、协议和加密算法中最显着的差距而获奖。 该奖项的颁发是为了表彰 漏洞 WPA3无线网络安全技术和EAP-pwd,允许您重新创建连接密码并在不知道密码的情况下访问无线网络。

    该奖项的其他候选人有:

    • 方法 对电子邮件客户端中的 PGP 和 S/MIME 加密的攻击;
    • 应用 冷启动方法来访问加密的 Bitlocker 分区的内容;
    • 漏洞 在 OpenSSL 中,它允许您区分接收到错误填充和错误 MAC 的情况。 该问题是由于padding oracle中对零字节的错误处理导致的;
    • 问题 使用在德国使用 SAML 的 ID 卡;
    • 问题 在 ChromeOS 中实现对 U2F 令牌的支持中使用随机数的熵;
    • 漏洞 在 Monocypher 中,因此空的 EdDSA 签名被识别为正确的。
  • 有史以来最具创新性的研究。 该奖项颁发给了该技术的开发者 矢量化仿真,它使用 AVX-512 向量指令来模拟程序执行,从而显着提高模糊测试速度(高达每秒 40-120 亿条指令)。 该技术允许每个 CPU 核心并行运行 8 个 64 位或 16 个 32 位虚拟机以及用于应用程序模糊测试的指令。

    以下人士有资格获奖:

    • 漏洞 MS Excel 的 Power Query 技术,允许您在打开专门设计的电子表格时组织代码执行并绕过应用程序隔离方法;
    • 方法 欺骗特斯拉汽车的自动驾驶仪,促使其驶入迎面车道;
    • 工作 ASICS芯片西门子S7-1200的逆向工程;
    • 声纳探听 - 基于声纳操作原理的手指运动跟踪技术来确定手机解锁码 - 智能手机的上下扬声器产生听不见的振动,内置麦克风拾取它们以分析从手机反射的振动是否存在手;
    • 进入菜单 NSA 的 Ghidra 逆向工程工具包;
    • 国家外汇管理局 — 基于二进制程序集的分析来确定多个可执行文件中相同功能的代码的使用的技术;
    • 创建 一种绕过 Intel Boot Guard 机制以加载修改后的 UEFI 固件而无需数字签名验证的方法。
  • 供应商最蹩脚的反应 (最蹩脚的供应商回应)。 对有关您自己产品中的漏洞的消息的最不充分响应的提名。 赢家是 BitFi 加密钱包的开发者,他们大肆宣扬自己产品的超安全性,结果却是虚构的,骚扰发现漏洞的研究人员,并且不支付承诺的发现问题奖金;

    该奖项的申请者还考虑了:

    • 一名安全研究人员指责 Atrient 主管攻击他,目的是迫使他删除有关他发现的漏洞的报告,但该主管否认了这一事件,监控摄像头也没有记录这次攻击;
    • Zoom 延迟修复关键问题 弱点 在其会议系统中,并在公开披露后才纠正该问题。 该漏洞允许外部攻击者在浏览器中打开专门设计的页面时从 macOS 用户的网络摄像头获取数据(Zoom 在客户端启动了一个 http 服务器,用于接收来自本地应用程序的命令)。
    • 10年以上未改正 问题 使用 OpenPGP 加密密钥服务器,理由是代码是用特定的 OCaml 语言编写的,并且没有维护者。

    迄今为止最炒作的漏洞公告。 因在互联网和媒体上对该问题进行最可悲和大规模的报道而获奖,特别是如果该漏洞最终在实践中被证明无法利用的话。 该奖项授予彭博社 应用 关于超微主板中间谍芯片的识别,尚未得到证实,消息人士表示绝对 其他信息.

    提名中提到:

    • libssh 中的漏洞,其中 触及到 单一服务器应用程序(libssh 几乎从未用于服务器),但被 NCC Group 作为允许攻击任何 OpenSSH 服务器的漏洞提出。
    • 使用 DICOM 图像进行攻击。 重点是您可以为 Windows 准备一个看起来像有效 DICOM 图像的可执行文件。 该文件可以下载到医疗设备并执行。
    • 漏洞 怒猫,它允许您绕过 Cisco 设备上的安全启动机制。 该漏洞被归类为过分夸大的问题,因为它需要root权限才能进行攻击,但如果攻击者已经能够获得root访问权限,那还谈什么安全呢。 该漏洞还在最被低估的问题类别中获胜,因为它允许您在 Flash 中引入永久后门;
  • 最大的失败 (大多数史诗般的失败)。 彭博社因其一系列耸人听闻的文章而获得胜利,这些文章标题响亮,但捏造事实,压制消息来源,陷入阴谋论,使用“网络武器”等术语,以及令人无法接受的概括。 其他提名者包括:
    • Shadowhammer 对华硕固件更新服务发起攻击;
    • 攻击一个标榜“不可攻击”的 BitFi 金库;
    • 个人数据泄露和 代币 访问 Facebook。

来源: opennet.ru

添加评论