主持人 > 博客 > 網絡新聞 > 2019 年 Pwnie 獎:最重大的安全漏洞和故障

2019 年 Pwnie 獎:最重大的安全漏洞和故障

在拉斯維加斯舉行的 Black Hat USA 會議上 發生了 頒獎典禮 2019 年 Pwnie 獎,其中突顯了電腦安全領域最重大的漏洞和荒謬的失敗。 Pwnie 獎被認為相當於電腦安全領域的奧斯卡獎和金酸莓獎,自 2007 年起每年舉辦一次。

主要的 獲獎者 и 提名:

  • 最佳伺服器錯誤。因識別和利用網路服務中技術最複雜和最有趣的錯誤而獲獎。獲獎者是研究人員 透露 VPN 供應商 Pulse Secure 中的漏洞,其 VPN 服務被 Twitter、Uber、微軟、SLA、SpaceX、Akamai、英特爾、IBM、VMware、美國海軍、美國國土安全部 (DHS) 以及可能一半的用戶使用研究人員發現了一個後門,允許未經身份驗證的攻擊者更改任何使用者的密碼。已經證明了利用該問題來獲得對僅開放 HTTPS 連接埠的 VPN 伺服器的 root 存取權限的可能性;

    未獲獎的候選人中,有以下情況:

    • 在預認證階段操作 脆弱性 在Jenkins持續整合系統中,它允許您在伺服器上執行程式碼。該漏洞被機器人積極利用,在伺服器上組織加密貨幣挖礦;
    • 批判的 脆弱性 在Exim郵件伺服器中,它允許您以root權限在伺服器上執行程式碼;
    • 漏洞 雄邁XMeye P2P網路攝影機,讓您掌控設備。相機附帶工程密碼,更新韌體時未使用數位簽章驗證;
    • 批判的 脆弱性 在Windows中實作RDP協議,它允許您遠端執行您的程式碼;
    • 脆弱性 在 WordPress 中,與以圖像的形式載入 PHP 程式碼相關。該問題允許您在伺服器上執行任意程式碼,擁有網站上出版物的作者(Author)的權限;
  • 最佳客戶端軟體錯誤。獲勝者是易於使用的 脆弱性 在Apple FaceTime群組呼叫系統中,允許群組呼叫的發起者強制被叫方接受呼叫(例如,用於監聽和窺探)。

    獲得該獎項提名的還有:

    • 脆弱性 在 WhatsApp 中,它允許您透過發送專門設計的語音呼叫來執行您的程式碼;
    • 脆弱性 Chrome瀏覽器使用的Skia圖形庫中,由於某些幾何變換中的浮點錯誤,可能會導致記憶體損壞;
  • 最佳特權提升漏洞。勝利被授予識別 弱點 在 iOS 核心中,可以透過 ipc_voucher 進行利用,可透過 Safari 瀏覽器存取。

    獲得該獎項提名的還有:

    • 脆弱性 在 Windows 中,允許您透過使用 CreateWindowEx (win32k.sys) 函數進行操作來完全控制系統。該問題是在分析利用該漏洞的惡意軟體時發現的,然後才修復的;
    • 脆弱性 runc和LXC中,影響Docker和其他容器隔離系統,允許攻擊者控制的隔離容器更改runc可執行檔並獲得主機系統側的root權限;
    • 脆弱性 在iOS(CFPrefsDaemon)中,它允許您繞過隔離模式並以root權限執行程式碼;
    • 脆弱性 在 Android 使用的 Linux TCP 堆疊版本中,允許本機使用者提升其在裝置上的權限;
    • 漏洞 在systemd-journald中,它可以讓你取得root權限;
    • 脆弱性 在 tmpreaper 實用程式中用於清理 /tmp,它允許您將檔案保存在檔案系統的任何部分;
  • 最佳密碼攻擊。因發現實際系統、協定和加密演算法中最顯著的差距而獲獎。該獎項的頒發是為了表彰 漏洞 WPA3無線網路安全技術和EAP-pwd,讓您可以重新建立連線密碼並在不知道密碼的情況下存取無線網路。

    該獎項的其他候選人有:

    • 方法 對電子郵件用戶端中的 PGP 和 S/MIME 加密的攻擊;
    • 應用 冷啟動方法來存取加密的 Bitlocker 分割區的內容;
    • 脆弱性 在 OpenSSL 中,它允許您區分接收到錯誤填充和錯誤 MAC 的情況。該問題是由於padding oracle中對零位元組的錯誤處理所導致的;
    • 問題 使用在德國使用 SAML 的 ID 卡;
    • 問題 在 ChromeOS 中實現對 U2F 令牌的支援中使用隨機數的熵;
    • 脆弱性 在 Monocypher 中,因此空的 EdDSA 簽章被辨識為正確的。
  • 有史以來最具創新性的研究。 該獎項頒發給了該技術的開發者 向量化仿真,它使用 AVX-512 向量指令來模擬程式執行,從而顯著提高模糊測試速度(高達每秒 40-120 億個指令)。該技術允許每個 CPU 核心並行運行 8 個 64 位元或 16 個 32 位元虛擬機器以及用於應用程式模糊測試的指令。

    以下人士有資格獲獎:

    • 脆弱性 MS Excel 的 Power Query 技術,可讓您在開啟專門設計的電子表格時組織程式碼執行並繞過應用程式隔離方法;
    • 方法 欺騙特斯拉汽車的自動駕駛儀,促使其駛入迎面車道;
    • Работа ASICS晶片西門子S7-1200的逆向工程;
    • 聲納探聽 - 基於聲納操作原理的手指運動追蹤技術來確定手機解鎖碼 - 智慧型手機的上下揚聲器產生聽不見的振動,內建麥克風拾取它們以分析從手機反射的振動是否存在手;
    • 設計 NSA 的 Ghidra 逆向工程工具包;
    • 國家外匯管理局 — 基於二進位組件的分析來確定多個執行檔中相同功能的程式碼的使用的技術;
    • 創建 一種繞過 Intel Boot Guard 機制以載入修改後的 UEFI 韌體而無需數位簽章驗證的方法。
  • 供應商最蹩腳的反應 (最蹩腳的供應商回應)。對您自己產品中的漏洞的消息的最不充分響應的提名。贏家是 BitFi 加密錢包的開發者,他們大肆宣揚自己產品的超安全性,結果卻是虛構的,騷擾發現漏洞的研究人員,並且不支付承諾的發現問題獎金;

    該獎項的申請者也考慮了:

    • 一名安全研究人員指責 Atrient 主管攻擊他,目的是迫使他刪除有關他發現的漏洞的報告,但該主管否認了這一事件,監視器也沒有記錄這次攻擊;
    • Zoom 延遲修復關鍵問題 弱點 在其會議系統中,並在公開披露後才糾正該問題。該漏洞允許外部攻擊者在瀏覽器中打開專門設計的頁面時從 macOS 用戶的網路攝影機獲取資料(Zoom 在客戶端啟動了一個 http 伺服器,用於接收來自本地應用程式的命令)。
    • 10年以上未改正 問題 使用 OpenPGP 加密金鑰伺服器,理由是程式碼是用特定的 OCaml 語言編寫的,並且沒有維護者。

    迄今為止最炒作的漏洞公告。因在互聯網和媒體上對該問題進行最可悲和大規模的報道而獲獎,特別是如果該漏洞最終在實踐中被證明無法利用的話。該獎項授予彭博社 應用 關於超微主機板中間諜晶片的識別,尚未得到證實,消息人士表示絕對 其他資訊.

    提名中提到:

    • libssh 中的漏洞,其中 觸及到 單一伺服器應用程式(libssh 幾乎從未用於伺服器),但被 NCC Group 作為允許攻擊任何 OpenSSH 伺服器的漏洞提出。
    • 使用 DICOM 影像進行攻擊。重點是您可以為 Windows 準備一個看起來像有效 DICOM 映像的可執行檔。該文件可以下載到醫療設備並執行。
    • 脆弱性 薩格瑞貓,它允許您繞過 Cisco 設備上的安全啟動機制。這個漏洞被歸類為過度誇大的問題,因為它需要root權限才能攻擊,但如果攻擊者已經能夠獲得root存取權限,那還談什麼安全呢。該漏洞還在最被低估的問題類別中獲勝,因為它允許您在 Flash 中引入永久後門;
  • 最大的失敗 (大多數史詩般的失敗)。彭博社因其一系列聳人聽聞的文章而獲得勝利,這些文章標題響亮,但捏造事實,壓制消息來源,陷入陰謀論,使用“網絡武器”等術語,以及令人無法接受的概括。其他提名者包括:
    • Shadowhammer 對華碩韌體更新服務發動攻擊;
    • 攻擊一個標榜「不可攻擊」的 BitFi 金庫;
    • 個人資料外洩和 令牌 造訪 Facebook。

來源: opennet.ru

添加評論