Suicide
12.08.2019, 20:43
На прошедшей в Лас Вегасе конференции Black Hat USA состоялась (https://pwnies.com/) церемония вручения премии Pwnie Awards 2019 (https://pwnies.com/), в рамках которой выделены наиболее значительные уязвимости и абсурдные провалы в области компьютерной безопасности. Pwnie Awards считается аналогом Оскара и Золотой малины в области компьютерной безопасности и проводится ежегодно, начиная с 2007 года.
Основные победители (https://pwnies.com/winners/) и номинации (https://pwnies.com/nominations):
Лучшая серверная ошибка. Присуждается за выявление и эксплуатацию наиболее технически сложной и интересной ошибки в сетевом сервисе. Победителями признаны исследователи, выявившие (https://www.blackhat.com/us-19/briefings/schedule/#infiltrating-corporate-intranet-like-nsa---pre-auth-rce-on-leading-ssl-vpns-15545) уязвимость у VPN-провайдера Pulse Secure, VPN-сервис которого используется в Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, Военно-морских силах США, Министерстве национальной безопасности (МНБ) США и вероятно в половине компаний из списка Fortune 500. Исследователями был найден бэкдор, позволяющий неаутентифицированному атакующему изменить пароль любого пользователя. Продемонстрирована возможность эксплуатации проблемы для получения root-доступа к серверу VPN, на котором открыт только порт HTTPS;
Из не получивших премию претендентов можно отметить:
Эксплуатируемая на стадии до прохождения аутентификации уязвимость (https://github.com/orangetw/awesome-jenkins-rce-2019) в системе непрерывной интеграции Jenkins, позволяющая выполнить код на сервере. Уязвимость активно используется ботами для организации майнинга криптовалюты на серверах;
Критическая уязвимость (https://www.opennet.ru/opennews/art.shtml?num=50819) в почтовом сервере Exim, позволяющая выполнить код на сервере с правами root;
Уязвимости (https://sec-consult.com/en/blog/2018/10/millions-of-xiongmai-video-surveillance-devices-can-be-hacked-via-cloud-feature-xmeye-p2p-cloud/) в IP-камерах Xiongmai XMeye P2P, позволяющая захватить управление устройством. Камеры поставлялись с инженерным паролем и не использовали при обновлении прошивки проверку по цифровой подписи;
Критическая уязвимость (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708) в реализации протокола RDP в Windows, позволяющая удалённо выполнить свой код;
Уязвимость (https://www.opennet.ru/opennews/art.shtml?num=50177) в WordPress, связанная с загрузкой PHP-кода под видом изображения. Проблема позволяет выполнить произвольный код на сервере, имея привилегии автора публикаций (Author) на сайте;
Лучшая ошибка в клиентском ПО. Победителем признана легко эксплуатируемая уязвимость (https://nvd.nist.gov/vuln/detail/CVE-2019-6223) в системе групповых вызовов Apple FaceTime, позволяющая инициатору группового вызова инициировать принудительный приём звонка на стороне вызываемого абонента (например, для прослушивания и подглядывания).
На получение премии также претендовали:
Уязвимость (https://www.opennet.ru/opennews/art.shtml?num=50679) в WhatsApp, позволяющая добиться выполнения своего кода через отправку специально оформленного голосового вызова;
Уязвимость (https://bugs.chromium.org/p/chromium/issues/detail?id=899689) в графической библиотеке Skia, используемой в браузере Chrome, которая может привести к повреждению памяти из-за погрешности операций с плавающей точкой при некоторых геометрических преобразованиях;
Лучшая уязвимость, приводящая к повышению привилегий. Победа присуждена за выявление уязвимости (https://googleprojectzero.blogspot.com/2019/01/voucherswap-exploiting-mig-reference.html) в ядре iOS, которую можно эксплуатировать через ipc_voucher, доступном для обращения через браузер Safari.
На получение премии также претендовали:
Уязвимость (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0859) в Windows, позволяющая получить полный контроль за системой через манипуляции с функцией CreateWindowEx (win32k.sys). Проблема была выявлена в ходе анализа вредоносного ПО, эксплуатировавшего уязвимость до её исправления;
Уязвимость (https://www.opennet.ru/opennews/art.shtml?num=50130) в runc и LXC, затрагивающая Docker и другие системы контейнерной изоляции, позволяющая из подконтрольного злоумышленнику изолированного контейнера изменить исполняемый файл runc и получить root-привилегии на стороне хост-системы;
Уязвимость (https://blog.zecops.com/vulnerabilities/exploit-of-cve-2019-7286/) в iOS (CFPrefsDaemon), позволяющая обойти режимы изоляции и выполнить код с правами root;
Уязвимость (https://nvd.nist.gov/vuln/detail/CVE-2018-9568) в редакции TCP-стека Linux, используемого в Android, позволяющая локальному пользователю поднять свои привилегии на устройстве;
Уязвимости (https://www.opennet.ru/opennews/art.shtml?num=49931) в systemd-journald, позволяющие получить права root;
Уязвимость (https://usn.ubuntu.com/4077-1/) в утилите tmpreaper для чистки /tmp, позволяющая сохранить свой файл в любой части ФС;
Лучшая криптографическая атака. Присуждается за выявление наиболее значимых брешей в реальных системах, протоколах и алгоритмах шифрования. Премия присуждена за выявление уязвимостей (https://www.opennet.ru/opennews/art.shtml?num=50493) в технологии защиты беспроводных сетей WPA3 и в EAP-pwd, позволяющих воссоздать пароль подключения и получить доступ к беспроводной сети без знания пароля.
Претендентами на получение премии также были:
Метод (https://www.opennet.ru/opennews/art.shtml?num=48597) атаки на шифрование PGP и S/MIME в почтовых клиентах;
Применение (https://blog.f-secure.com/cold-boot-attacks/) метода холодной перезагрузки для получения доступа к содержимому шифрованных разделов Bitlocker;
Уязвимость (https://www.opennet.ru/opennews/art.shtml?num=50213) в OpenSSL, позволяющая разделять ситуации получения некорректного добавочного заполнения и некорректного MAC. Проблема вызвана некорректной обработкой нулевых байтов в добавочном заполнении (padding oracle);
Проблемы (https://sec-consult.com/en/blog/2018/11/my-name-is-johann-wolfgang-von-goethe-i-can-prove-it/) с применяемыми в Германии картами идентификации, использующими SAML;
Проблема (https://www.chromium.org/chromium-os/u2f-ecdsa-vulnerability) с энтропией случайных чисел в реализации поддержки токенов U2F в СhromeOS;
Уязвимость (https://monocypher.org/quality-assurance/disclosures) в Monocypher, из-за которой признавались корректными нулевые сигнатуры EdDSA.
Наиболее инновационное исследование. Премия присуждена разработчику техники Vectorized Emulation (https://gamozolabs.github.io/fuzzing/2018/10/14/vectorized_emulation.html), использующей векторные инструкции AVX-512 для эмуляции выполнения программ, позволяющей добиться существенного увеличения скорости fuzzing-тестирования (до 40-120 миллиардов инструкций в секунду). Техники позволяет на каждом ядре СPU параллельно выполнять 8 64-разрядных или 16 32-разрядных виртуальных машин с инструкциями для fuzzing-тестирования приложения.
На получение премии претендовали:
Уязвимость (https://www.mimecast.com/blog/2019/06/exploit-using-microsoft-excel-power-query-for-remote-dde-execution-discovered/) в технологии Power Query из MS Excel, позволяющая организовать выполнение кода и обход методов изоляции приложений при открытии специально оформленных электронных таблиц;
Метод (https://www.opennet.ru/opennews/art.shtml?num=50446) обмана автопилота автомобилей Tesla для провоцирования выезда на встречную полосу движения;
Работа (https://sec-consult.com/en/blog/2019/02/reverse-engineering-architecture-pinout-plc/) по обратному инжинирингу ASICS чипа Siemens S7-1200;
SonarSnoop (https://arxiv.org/abs/1808.10250) - техника отслеживания движения пальцев для определения кода разблокировки телефона, основанная на принципе работы сонара - верхний и нижний динамики смартфона генерируют неслышимые колебания, а встроенные микрофоны улавливают их для анализа наличия отражённых от руки колебаний;
Разработка (https://www.opennet.ru/opennews/art.shtml?num=50260) в АНБ инструментария для обратного инжиниринга Ghidra;
SAFE (https://medium.com/@massarelli/safe-self-attentive-function-embedding-d80abbfea794) - техника определения использования кода одинаковых функций в нескольких исполняемых файлах на основе анализа бинарных сборок;
Создание (https://vulmon.com/vulnerabilitydetails?qid=CVE-2019-11098&scoretype=cvssv2) метода обхода механизма Intel Boot Guard для загрузки модифицированных UEFI-прошивок без проверки по цифровой подписи.
Самая ламерская реакция вендора (Lamest Vendor Response). Номинация за самую неадекватную реакцию на сообщение об уязвимости в собственном продукте. Победителем признаны разработчики криптокошелька BitFi, кричащие о сверхбезопасности своего продукта, которая на деле оказалась мнимой, устраивающие травлю на исследователей, выявляющих уязвимости, и не выплачивающих обещанные премии за выявление проблем;
Среди претендентов на получение премии также рассматривались:
Исследователь безопасности обвинил директора Atrient в нападении для того, чтобы принудить удалить отчёт о выявленной им уязвимости, но директор отрицает инцидент и камеры наблюдения не зафиксировали это нападение;
Компания Zoom оттягивала исправление критической уязвимости (https://medium.com/bugbountywriteup/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5) в своей системе конференц-связи и исправила проблему только после публичной огласки. Уязвимость позволяла внешнему атакующему получить данные с web-камер пользователей macOS при открытии в браузере специальной оформленной страницы (zoom запускал на стороне клиента http-сервер, принимающий команды от локального приложения).
Неспособность более 10 лет исправить проблему (https://www.opennet.ru/opennews/art.shtml?num=51006) c серверами криптографических ключей OpenPGP, мотивируя тем, что код написан на специфичном языке OCaml и остаётся без сопровождающего.
Наиболее раздутое объявление об уязвимости. Присуждается за наиболее пафосное и масштабное освещение проблемы в интернете и СМИ, особенно если в итоге уязвимость оказывается неэксплуатируема на практике. Премия присуждена изданию Bloomberg за заявление (https://www.opennet.ru/opennews/art.shtml?num=49393) о выявлении шпионских чипов в платах Super Micro, которое не подтвердилось, а источник указал совсем другую информацию (https://www.opennet.ru/opennews/art.shtml?num=49417).
В номинации упомянуты:
Уязвимость в libssh, которая затрагивала (https://www.opennet.ru/opennews/art.shtml?num=49453) единичные серверные приложения (libssh почти не используется для серверов), но была преподнесена NCC Group как уязвимость, позволяющая атаковать любой сервер OpenSSH.
Атака c использованием изображений в формате DICOM. Суть в том, что можно подготовить исполняемый файл для Windows, который будет выглядеть как валидное изображение в формате DICOM. Этот файл можно загрузить на медицинское устройство и выполнить.
Уязвимость Thrangrycat (https://thrangrycat.com/), позволяющая обойти механизм безопасной загрузки на устройствах Cisco. Уязвимость отнесена в категорию раздутых проблем так как требует для атаки прав root, но если атакующий уже смог получить root-доступ, то о какой безопасности может идти речь. Уязвимость одновременно победила в категории самых недооценённых проблем, так как позволяет внедрить постоянный бэкдор во Flash;
Самый большой провал (Most Epic FAIL). Победа присуждена изданию Bloomberg за ряд сенсационных статей c громкими заголовками, но придуманными фактами, умалчиванием источников, скатыванием в теорию заговоров, использованием таких терминов, как "кибероружие", и недопустимыми обобщениями. Среди других номинантов:
Атака Shadowhammer на сервис обновления прошивок Asus;
Взлом хранилища BitFi, разрекламированного как "невзламываемое";
Утечки персональных данных и токенов (https://www.opennet.ru/opennews/art.shtml?num=49366) доступа в Facebook.
12.08.2019
http://www.opennet.ru/opennews/art.shtml?num=51267
Основные победители (https://pwnies.com/winners/) и номинации (https://pwnies.com/nominations):
Лучшая серверная ошибка. Присуждается за выявление и эксплуатацию наиболее технически сложной и интересной ошибки в сетевом сервисе. Победителями признаны исследователи, выявившие (https://www.blackhat.com/us-19/briefings/schedule/#infiltrating-corporate-intranet-like-nsa---pre-auth-rce-on-leading-ssl-vpns-15545) уязвимость у VPN-провайдера Pulse Secure, VPN-сервис которого используется в Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, Военно-морских силах США, Министерстве национальной безопасности (МНБ) США и вероятно в половине компаний из списка Fortune 500. Исследователями был найден бэкдор, позволяющий неаутентифицированному атакующему изменить пароль любого пользователя. Продемонстрирована возможность эксплуатации проблемы для получения root-доступа к серверу VPN, на котором открыт только порт HTTPS;
Из не получивших премию претендентов можно отметить:
Эксплуатируемая на стадии до прохождения аутентификации уязвимость (https://github.com/orangetw/awesome-jenkins-rce-2019) в системе непрерывной интеграции Jenkins, позволяющая выполнить код на сервере. Уязвимость активно используется ботами для организации майнинга криптовалюты на серверах;
Критическая уязвимость (https://www.opennet.ru/opennews/art.shtml?num=50819) в почтовом сервере Exim, позволяющая выполнить код на сервере с правами root;
Уязвимости (https://sec-consult.com/en/blog/2018/10/millions-of-xiongmai-video-surveillance-devices-can-be-hacked-via-cloud-feature-xmeye-p2p-cloud/) в IP-камерах Xiongmai XMeye P2P, позволяющая захватить управление устройством. Камеры поставлялись с инженерным паролем и не использовали при обновлении прошивки проверку по цифровой подписи;
Критическая уязвимость (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708) в реализации протокола RDP в Windows, позволяющая удалённо выполнить свой код;
Уязвимость (https://www.opennet.ru/opennews/art.shtml?num=50177) в WordPress, связанная с загрузкой PHP-кода под видом изображения. Проблема позволяет выполнить произвольный код на сервере, имея привилегии автора публикаций (Author) на сайте;
Лучшая ошибка в клиентском ПО. Победителем признана легко эксплуатируемая уязвимость (https://nvd.nist.gov/vuln/detail/CVE-2019-6223) в системе групповых вызовов Apple FaceTime, позволяющая инициатору группового вызова инициировать принудительный приём звонка на стороне вызываемого абонента (например, для прослушивания и подглядывания).
На получение премии также претендовали:
Уязвимость (https://www.opennet.ru/opennews/art.shtml?num=50679) в WhatsApp, позволяющая добиться выполнения своего кода через отправку специально оформленного голосового вызова;
Уязвимость (https://bugs.chromium.org/p/chromium/issues/detail?id=899689) в графической библиотеке Skia, используемой в браузере Chrome, которая может привести к повреждению памяти из-за погрешности операций с плавающей точкой при некоторых геометрических преобразованиях;
Лучшая уязвимость, приводящая к повышению привилегий. Победа присуждена за выявление уязвимости (https://googleprojectzero.blogspot.com/2019/01/voucherswap-exploiting-mig-reference.html) в ядре iOS, которую можно эксплуатировать через ipc_voucher, доступном для обращения через браузер Safari.
На получение премии также претендовали:
Уязвимость (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0859) в Windows, позволяющая получить полный контроль за системой через манипуляции с функцией CreateWindowEx (win32k.sys). Проблема была выявлена в ходе анализа вредоносного ПО, эксплуатировавшего уязвимость до её исправления;
Уязвимость (https://www.opennet.ru/opennews/art.shtml?num=50130) в runc и LXC, затрагивающая Docker и другие системы контейнерной изоляции, позволяющая из подконтрольного злоумышленнику изолированного контейнера изменить исполняемый файл runc и получить root-привилегии на стороне хост-системы;
Уязвимость (https://blog.zecops.com/vulnerabilities/exploit-of-cve-2019-7286/) в iOS (CFPrefsDaemon), позволяющая обойти режимы изоляции и выполнить код с правами root;
Уязвимость (https://nvd.nist.gov/vuln/detail/CVE-2018-9568) в редакции TCP-стека Linux, используемого в Android, позволяющая локальному пользователю поднять свои привилегии на устройстве;
Уязвимости (https://www.opennet.ru/opennews/art.shtml?num=49931) в systemd-journald, позволяющие получить права root;
Уязвимость (https://usn.ubuntu.com/4077-1/) в утилите tmpreaper для чистки /tmp, позволяющая сохранить свой файл в любой части ФС;
Лучшая криптографическая атака. Присуждается за выявление наиболее значимых брешей в реальных системах, протоколах и алгоритмах шифрования. Премия присуждена за выявление уязвимостей (https://www.opennet.ru/opennews/art.shtml?num=50493) в технологии защиты беспроводных сетей WPA3 и в EAP-pwd, позволяющих воссоздать пароль подключения и получить доступ к беспроводной сети без знания пароля.
Претендентами на получение премии также были:
Метод (https://www.opennet.ru/opennews/art.shtml?num=48597) атаки на шифрование PGP и S/MIME в почтовых клиентах;
Применение (https://blog.f-secure.com/cold-boot-attacks/) метода холодной перезагрузки для получения доступа к содержимому шифрованных разделов Bitlocker;
Уязвимость (https://www.opennet.ru/opennews/art.shtml?num=50213) в OpenSSL, позволяющая разделять ситуации получения некорректного добавочного заполнения и некорректного MAC. Проблема вызвана некорректной обработкой нулевых байтов в добавочном заполнении (padding oracle);
Проблемы (https://sec-consult.com/en/blog/2018/11/my-name-is-johann-wolfgang-von-goethe-i-can-prove-it/) с применяемыми в Германии картами идентификации, использующими SAML;
Проблема (https://www.chromium.org/chromium-os/u2f-ecdsa-vulnerability) с энтропией случайных чисел в реализации поддержки токенов U2F в СhromeOS;
Уязвимость (https://monocypher.org/quality-assurance/disclosures) в Monocypher, из-за которой признавались корректными нулевые сигнатуры EdDSA.
Наиболее инновационное исследование. Премия присуждена разработчику техники Vectorized Emulation (https://gamozolabs.github.io/fuzzing/2018/10/14/vectorized_emulation.html), использующей векторные инструкции AVX-512 для эмуляции выполнения программ, позволяющей добиться существенного увеличения скорости fuzzing-тестирования (до 40-120 миллиардов инструкций в секунду). Техники позволяет на каждом ядре СPU параллельно выполнять 8 64-разрядных или 16 32-разрядных виртуальных машин с инструкциями для fuzzing-тестирования приложения.
На получение премии претендовали:
Уязвимость (https://www.mimecast.com/blog/2019/06/exploit-using-microsoft-excel-power-query-for-remote-dde-execution-discovered/) в технологии Power Query из MS Excel, позволяющая организовать выполнение кода и обход методов изоляции приложений при открытии специально оформленных электронных таблиц;
Метод (https://www.opennet.ru/opennews/art.shtml?num=50446) обмана автопилота автомобилей Tesla для провоцирования выезда на встречную полосу движения;
Работа (https://sec-consult.com/en/blog/2019/02/reverse-engineering-architecture-pinout-plc/) по обратному инжинирингу ASICS чипа Siemens S7-1200;
SonarSnoop (https://arxiv.org/abs/1808.10250) - техника отслеживания движения пальцев для определения кода разблокировки телефона, основанная на принципе работы сонара - верхний и нижний динамики смартфона генерируют неслышимые колебания, а встроенные микрофоны улавливают их для анализа наличия отражённых от руки колебаний;
Разработка (https://www.opennet.ru/opennews/art.shtml?num=50260) в АНБ инструментария для обратного инжиниринга Ghidra;
SAFE (https://medium.com/@massarelli/safe-self-attentive-function-embedding-d80abbfea794) - техника определения использования кода одинаковых функций в нескольких исполняемых файлах на основе анализа бинарных сборок;
Создание (https://vulmon.com/vulnerabilitydetails?qid=CVE-2019-11098&scoretype=cvssv2) метода обхода механизма Intel Boot Guard для загрузки модифицированных UEFI-прошивок без проверки по цифровой подписи.
Самая ламерская реакция вендора (Lamest Vendor Response). Номинация за самую неадекватную реакцию на сообщение об уязвимости в собственном продукте. Победителем признаны разработчики криптокошелька BitFi, кричащие о сверхбезопасности своего продукта, которая на деле оказалась мнимой, устраивающие травлю на исследователей, выявляющих уязвимости, и не выплачивающих обещанные премии за выявление проблем;
Среди претендентов на получение премии также рассматривались:
Исследователь безопасности обвинил директора Atrient в нападении для того, чтобы принудить удалить отчёт о выявленной им уязвимости, но директор отрицает инцидент и камеры наблюдения не зафиксировали это нападение;
Компания Zoom оттягивала исправление критической уязвимости (https://medium.com/bugbountywriteup/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5) в своей системе конференц-связи и исправила проблему только после публичной огласки. Уязвимость позволяла внешнему атакующему получить данные с web-камер пользователей macOS при открытии в браузере специальной оформленной страницы (zoom запускал на стороне клиента http-сервер, принимающий команды от локального приложения).
Неспособность более 10 лет исправить проблему (https://www.opennet.ru/opennews/art.shtml?num=51006) c серверами криптографических ключей OpenPGP, мотивируя тем, что код написан на специфичном языке OCaml и остаётся без сопровождающего.
Наиболее раздутое объявление об уязвимости. Присуждается за наиболее пафосное и масштабное освещение проблемы в интернете и СМИ, особенно если в итоге уязвимость оказывается неэксплуатируема на практике. Премия присуждена изданию Bloomberg за заявление (https://www.opennet.ru/opennews/art.shtml?num=49393) о выявлении шпионских чипов в платах Super Micro, которое не подтвердилось, а источник указал совсем другую информацию (https://www.opennet.ru/opennews/art.shtml?num=49417).
В номинации упомянуты:
Уязвимость в libssh, которая затрагивала (https://www.opennet.ru/opennews/art.shtml?num=49453) единичные серверные приложения (libssh почти не используется для серверов), но была преподнесена NCC Group как уязвимость, позволяющая атаковать любой сервер OpenSSH.
Атака c использованием изображений в формате DICOM. Суть в том, что можно подготовить исполняемый файл для Windows, который будет выглядеть как валидное изображение в формате DICOM. Этот файл можно загрузить на медицинское устройство и выполнить.
Уязвимость Thrangrycat (https://thrangrycat.com/), позволяющая обойти механизм безопасной загрузки на устройствах Cisco. Уязвимость отнесена в категорию раздутых проблем так как требует для атаки прав root, но если атакующий уже смог получить root-доступ, то о какой безопасности может идти речь. Уязвимость одновременно победила в категории самых недооценённых проблем, так как позволяет внедрить постоянный бэкдор во Flash;
Самый большой провал (Most Epic FAIL). Победа присуждена изданию Bloomberg за ряд сенсационных статей c громкими заголовками, но придуманными фактами, умалчиванием источников, скатыванием в теорию заговоров, использованием таких терминов, как "кибероружие", и недопустимыми обобщениями. Среди других номинантов:
Атака Shadowhammer на сервис обновления прошивок Asus;
Взлом хранилища BitFi, разрекламированного как "невзламываемое";
Утечки персональных данных и токенов (https://www.opennet.ru/opennews/art.shtml?num=49366) доступа в Facebook.
12.08.2019
http://www.opennet.ru/opennews/art.shtml?num=51267