The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Pwnie Awards 2019: наиболее существенные уязвимости и провалы в безопасности

12.08.2019 14:00

На прошедшей в Лас Вегасе конференции Black Hat USA состоялась церемония вручения премии Pwnie Awards 2019, в рамках которой выделены наиболее значительные уязвимости и абсурдные провалы в области компьютерной безопасности. Pwnie Awards считается аналогом Оскара и Золотой малины в области компьютерной безопасности и проводится ежегодно, начиная с 2007 года.

Основные победители и номинации:

  • Лучшая серверная ошибка. Присуждается за выявление и эксплуатацию наиболее технически сложной и интересной ошибки в сетевом сервисе. Победителями признаны исследователи, выявившие уязвимость у VPN-провайдера Pulse Secure, VPN-сервис которого используется в Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, Военно-морских силах США, Министерстве национальной безопасности (МНБ) США и вероятно в половине компаний из списка Fortune 500. Исследователями был найден бэкдор, позволяющий неаутентифицированному атакующему изменить пароль любого пользователя. Продемонстрирована возможность эксплуатации проблемы для получения root-доступа к серверу VPN, на котором открыт только порт HTTPS;

    Из не получивших премию претендентов можно отметить:

    • Эксплуатируемая на стадии до прохождения аутентификации уязвимость в системе непрерывной интеграции Jenkins, позволяющая выполнить код на сервере. Уязвимость активно используется ботами для организации майнинга криптовалюты на серверах;
    • Критическая уязвимость в почтовом сервере Exim, позволяющая выполнить код на сервере с правами root;
    • Уязвимости в IP-камерах Xiongmai XMeye P2P, позволяющая захватить управление устройством. Камеры поставлялись с инженерным паролем и не использовали при обновлении прошивки проверку по цифровой подписи;
    • Критическая уязвимость в реализации протокола RDP в Windows, позволяющая удалённо выполнить свой код;
    • Уязвимость в WordPress, связанная с загрузкой PHP-кода под видом изображения. Проблема позволяет выполнить произвольный код на сервере, имея привилегии автора публикаций (Author) на сайте;
  • Лучшая ошибка в клиентском ПО. Победителем признана легко эксплуатируемая уязвимость в системе групповых вызовов Apple FaceTime, позволяющая инициатору группового вызова инициировать принудительный приём звонка на стороне вызываемого абонента (например, для прослушивания и подглядывания).

    На получение премии также претендовали:

    • Уязвимость в WhatsApp, позволяющая добиться выполнения своего кода через отправку специально оформленного голосового вызова;
    • Уязвимость в графической библиотеке Skia, используемой в браузере Chrome, которая может привести к повреждению памяти из-за погрешности операций с плавающей точкой при некоторых геометрических преобразованиях;
  • Лучшая уязвимость, приводящая к повышению привилегий. Победа присуждена за выявление уязвимости в ядре iOS, которую можно эксплуатировать через ipc_voucher, доступном для обращения через браузер Safari.

    На получение премии также претендовали:

    • Уязвимость в Windows, позволяющая получить полный контроль за системой через манипуляции с функцией CreateWindowEx (win32k.sys). Проблема была выявлена в ходе анализа вредоносного ПО, эксплуатировавшего уязвимость до её исправления;
    • Уязвимость в runc и LXC, затрагивающая Docker и другие системы контейнерной изоляции, позволяющая из подконтрольного злоумышленнику изолированного контейнера изменить исполняемый файл runc и получить root-привилегии на стороне хост-системы;
    • Уязвимость в iOS (CFPrefsDaemon), позволяющая обойти режимы изоляции и выполнить код с правами root;
    • Уязвимость в редакции TCP-стека Linux, используемого в Android, позволяющая локальному пользователю поднять свои привилегии на устройстве;
    • Уязвимости в systemd-journald, позволяющие получить права root;
    • Уязвимость в утилите tmpreaper для чистки /tmp, позволяющая сохранить свой файл в любой части ФС;
  • Лучшая криптографическая атака. Присуждается за выявление наиболее значимых брешей в реальных системах, протоколах и алгоритмах шифрования. Премия присуждена за выявление уязвимостей в технологии защиты беспроводных сетей WPA3 и в EAP-pwd, позволяющих воссоздать пароль подключения и получить доступ к беспроводной сети без знания пароля.

    Претендентами на получение премии также были:

    • Метод атаки на шифрование PGP и S/MIME в почтовых клиентах;
    • Применение метода холодной перезагрузки для получения доступа к содержимому шифрованных разделов Bitlocker;
    • Уязвимость в OpenSSL, позволяющая разделять ситуации получения некорректного добавочного заполнения и некорректного MAC. Проблема вызвана некорректной обработкой нулевых байтов в добавочном заполнении (padding oracle);
    • Проблемы с применяемыми в Германии картами идентификации, использующими SAML;
    • Проблема с энтропией случайных чисел в реализации поддержки токенов U2F в СhromeOS;
    • Уязвимость в Monocypher, из-за которой признавались корректными нулевые сигнатуры EdDSA.
  • Наиболее инновационное исследование. Премия присуждена разработчику техники Vectorized Emulation, использующей векторные инструкции AVX-512 для эмуляции выполнения программ, позволяющей добиться существенного увеличения скорости fuzzing-тестирования (до 40-120 миллиардов инструкций в секунду). Техники позволяет на каждом ядре СPU параллельно выполнять 8 64-разрядных или 16 32-разрядных виртуальных машин с инструкциями для fuzzing-тестирования приложения.

    На получение премии претендовали:

    • Уязвимость в технологии Power Query из MS Excel, позволяющая организовать выполнение кода и обход методов изоляции приложений при открытии специально оформленных электронных таблиц;
    • Метод обмана автопилота автомобилей Tesla для провоцирования выезда на встречную полосу движения;
    • Работа по обратному инжинирингу ASICS чипа Siemens S7-1200;
    • SonarSnoop - техника отслеживания движения пальцев для определения кода разблокировки телефона, основанная на принципе работы сонара - верхний и нижний динамики смартфона генерируют неслышимые колебания, а встроенные микрофоны улавливают их для анализа наличия отражённых от руки колебаний;
    • Разработка в АНБ инструментария для обратного инжиниринга Ghidra;
    • SAFE - техника определения использования кода одинаковых функций в нескольких исполняемых файлах на основе анализа бинарных сборок;
    • Создание метода обхода механизма Intel Boot Guard для загрузки модифицированных UEFI-прошивок без проверки по цифровой подписи.
  • Самая ламерская реакция вендора (Lamest Vendor Response). Номинация за самую неадекватную реакцию на сообщение об уязвимости в собственном продукте. Победителем признаны разработчики криптокошелька BitFi, кричащие о сверхбезопасности своего продукта, которая на деле оказалась мнимой, устраивающие травлю на исследователей, выявляющих уязвимости, и не выплачивающих обещанные премии за выявление проблем;

    Среди претендентов на получение премии также рассматривались:

    • Исследователь безопасности обвинил директора Atrient в нападении для того, чтобы принудить удалить отчёт о выявленной им уязвимости, но директор отрицает инцидент и камеры наблюдения не зафиксировали это нападение;
    • Компания Zoom оттягивала исправление критической уязвимости в своей системе конференц-связи и исправила проблему только после публичной огласки. Уязвимость позволяла внешнему атакующему получить данные с web-камер пользователей macOS при открытии в браузере специальной оформленной страницы (zoom запускал на стороне клиента http-сервер, принимающий команды от локального приложения).
    • Неспособность более 10 лет исправить проблему c серверами криптографических ключей OpenPGP, мотивируя тем, что код написан на специфичном языке OCaml и остаётся без сопровождающего.
    Наиболее раздутое объявление об уязвимости. Присуждается за наиболее пафосное и масштабное освещение проблемы в интернете и СМИ, особенно если в итоге уязвимость оказывается неэксплуатируема на практике. Премия присуждена изданию Bloomberg за заявление о выявлении шпионских чипов в платах Super Micro, которое не подтвердилось, а источник указал совсем другую информацию.

    В номинации упомянуты:

    • Уязвимость в libssh, которая затрагивала единичные серверные приложения (libssh почти не используется для серверов), но была преподнесена NCC Group как уязвимость, позволяющая атаковать любой сервер OpenSSH.
    • Атака c использованием изображений в формате DICOM. Суть в том, что можно подготовить исполняемый файл для Windows, который будет выглядеть как валидное изображение в формате DICOM. Этот файл можно загрузить на медицинское устройство и выполнить.
    • Уязвимость Thrangrycat, позволяющая обойти механизм безопасной загрузки на устройствах Cisco. Уязвимость отнесена в категорию раздутых проблем так как требует для атаки прав root, но если атакующий уже смог получить root-доступ, то о какой безопасности может идти речь. Уязвимость одновременно победила в категории самых недооценённых проблем, так как позволяет внедрить постоянный бэкдор во Flash;
  • Самый большой провал (Most Epic FAIL). Победа присуждена изданию Bloomberg за ряд сенсационных статей c громкими заголовками, но придуманными фактами, умалчиванием источников, скатыванием в теорию заговоров, использованием таких терминов, как "кибероружие", и недопустимыми обобщениями. Среди других номинантов:
    • Атака Shadowhammer на сервис обновления прошивок Asus;
    • Взлом хранилища BitFi, разрекламированного как "невзламываемое";
    • Утечки персональных данных и токенов доступа в Facebook.


  1. Главная ссылка к новости (https://pwnies.com/...)
  2. OpenNews: Pwnie Awards 2017: наиболее существенные уязвимости и провалы в безопасности
  3. OpenNews: В рамках Pwnie Awards 2013 определены наиболее существенные уязвимости и провалы в безопасности
  4. OpenNews: Озвучены имена победителей Pwnie Awards 2011
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: pwnies, award
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (33) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (1), 14:14, 12/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +27 +/
    Чето про аппаратные уязвимости ни слова Интел проплатил.
     
     
  • 2.31, Аноним (-), 04:55, 13/08/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Год не тот, посмотрите Pwnie Awards 2018
     

  • 1.2, kai3341 (ok), 14:23, 12/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Не понял, а где https://www.opennet.ru/opennews/art.shtml?num=50404
     
     
  • 2.7, Andrey Mitrofanov_N0 (??), 15:00, 12/08/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Не понял, а где https://www.opennet.ru/opennews/art.shtml?num=50404

    ""... --А русские, русские где?  --Да, успокойтесь вы, русские в жюри сидят. "" --анектдот

     

  • 1.4, mumu (ok), 14:34, 12/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А про что там блумберг писал? Про русских хакеров?
     
     
  • 2.14, Аноним (14), 17:31, 12/08/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Что им "русские хакеры" заказали то они и написали.
     
  • 2.18, Аноним (18), 19:27, 12/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Про бэкдоры в платах Supermicro.
     
  • 2.22, AnonPlus (?), 21:22, 12/08/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Про посторонние чипы на материнках супермикро. Китай. В итоге, никаких доказательств и чипов не представили.
     
     
  • 3.27, Аноним84701 (ok), 23:05, 12/08/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Про посторонние чипы на материнках супермикро. Китай. В итоге, никаких доказательств и
    > чипов не представили.

    Но кто-то наверняка неплохо наварился на скачках курса (оно, емнип, в NASDAQ есть)

     

  • 1.5, Аноним (5), 14:52, 12/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Атака Shadowhammer на сервис обновления прошивок Asus

    А где про подписанную вирусню распространявшуюся этим сервисом на территории РФ? Они же вроде так и не признали, что их инфраструктуру поимели, или то был госзаказ?

     
  • 1.6, Аноним (6), 14:53, 12/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Я не смотрю зомбоящик и не читаю газетенки, но буду иметь ввиду, что бломьергу абсолютно никогда нельзя верить.
     
     
  • 2.8, anonimus (?), 15:18, 12/08/2019 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Поему ты думаешь, что журналистам вообще можно доверять? Можно, конечно, почитать и разделить на 2, но часто в статье уже поделено на 0, но понимаешь это только по выражению лица собеседника, которому пересказываешь статью "своими" словами.
     

  • 1.9, анонн (ok), 15:22, 12/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    > -  Уязвимости (https://www.opennet.ru/opennews/art.shtml?num=49931) в systemd-journald, позволяющие получить права root;

    Поздравляю всех местных почитателей Рыжего!
    В этот раз Главный Разработчик, к сожалению, остался без (несомненно, заслуженного) приза.
    Но ведь и конкуренция была очень сильна, так что сильно не расстраивайтесь, в слудющем году ему повезет больше!

     
     
  • 2.13, Поцтеринг (?), 16:31, 12/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вы мне льстите. С конкурентами вида CreateWindowEx - шансов на победу практически нет даже если огрызок слетит с трассы :-( А я ведь так старался, чтоб все было как в винде...

     
  • 2.15, iPony129412 (?), 17:56, 12/08/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > В этот раз Главный Разработчик, к сожалению, остался без (несомненно, заслуженного) приза.

    Так у него наверно прошлая Pwnie стоит на самом почётном месте среди прочих наград.

     

  • 1.11, Аноним (11), 15:54, 12/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >Неспособность более 10 лет исправить проблему c серверами криптографических ключей OpenPGP, мотивируя тем, что код написан на специфичном языке OCaml и остаётся без сопровождающего.

    Не знал, что OCaml настолько никому не нужен.

     
     
  • 2.12, _hide_ (ok), 16:26, 12/08/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тут очень понятная проблема -- это проект, живущий не деньги спонсоров. Там программисты не нужны.
     

  • 1.16, Аноним (16), 18:06, 12/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >Неспособность более 10 лет исправить проблему c серверами криптографических ключей OpenPGP, мотивируя тем, что код написан на специфичном языке OCaml и остаётся без сопровождающего.

    то есть теперь любому неподдерживаемому ПО будут выдавать эту антипремию?

     
     
  • 2.21, Crazy Alex (ok), 20:54, 12/08/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты пропустил всё шоу
     
     
  • 3.32, Vkni (ok), 05:37, 13/08/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, обсуждение было потрясающее!
     

  • 1.17, Аноним (-), 18:39, 12/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Уязвимости в systemd-journald, позволяющие получить права root;

    Я удивляюсь. И почему нет аналогичных новостей про sysVinit?

     
     
  • 2.19, Аноним (19), 19:33, 12/08/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Потому что sysvinit это API и ~10 простых бинарников (http://git.savannah.nongnu.org/cgit/sysvinit.git/tree/src), а скрипты которые он запускает (и в которых возможно есть уязвимости) не являются его частью, они написаны авторами дистрибутивов.
     
     
  • 3.24, Аноним (24), 21:33, 12/08/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Поэтому его и выкинули трояна засунуть некуда а все вири на виду в открытом коде.
     
  • 3.29, Совесть_Леннарта (?), 23:50, 12/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Справедливо
     
  • 2.20, пох. (?), 20:47, 12/08/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    потому что аналогичная уязвимость должна быть не в нем, а в syslogd/klogd

    в них уязвимости, в принципе, бывали, и по сей день представляется не совсем разумным запускать первый слушающим сокет на внешних интерфейсах без острой нужды, особенно уродцев типа rsyslog, сделанных практически такими же модными-молодежными чуваками.

     

  • 1.23, Аноним (24), 21:30, 12/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Даже тут написано что системд не нужен но хомячки продолжают есть кактус.
     
     
  • 2.25, Поцтеринг (?), 21:55, 12/08/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    я выиграю, я выиграю! Не в следующем году, но через один - почти наверняка!

     

  • 1.26, Аноним (26), 23:05, 12/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > провалы в безопасности

    Еще могу понять "бреши". Но "провалы".. отказываюсь понимать.

     
     
  • 2.28, Аноним (28), 23:49, 12/08/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    "Зияющие высоты". Стало лучше?
     
     
  • 3.30, Аноним (30), 02:30, 13/08/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Хуже. Пробуйте еще.
     
  • 2.33, Аноним (-), 10:21, 13/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Дыры. Самое подходящее слово.
     

  • 1.34, pripolz (?), 12:34, 13/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > IP-камерах Xiongmai XMeye P2P

    Это половина видеорегистратотов по всему миру!!!!
    Крутейшая фича их XMeye на самом деле.

     
  • 1.35, Аноним (35), 10:37, 14/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хоть кто-то оценил Блумберг по достоинству.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру