Нещодавно у Лас-Вегасі відбулась церемонія Pwnie Awards 2019 — вручення нагород за найбільші провали у галузі комп'ютерної безпеки. Це своєрідний антирейтинг, який можна порівняти з Іґнобелівською премією та кіновідзнакою «Золота малина». The Pwnie Awards проходить щорічно з 2007 року, публікуємо його цьогорічні результати.
Найкраща серверна помилка
Номінація за виявлення й експлуатацію найцікавішої та технічно складної помилки в мережевому сервісі. Цьогорічними переможцями стали дослідники, що знайшли вразливість у VPN-провайдера Pulse Secure. Його VPN-сервісом послуговуються Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, Повітряні сили США, Міністерство національної безпеки США і, вірогідно, ще сотні компаній. Дослідники знайшли бекдор, що дозволяв неавтентифікованому зловмиснику змінити пароль будь-якого іншого користувача.
Серед інших номінантів:
- Експлуатована до проходження автентифікації, вразливість в системі безперервної інтеграції Jenkins, що дозволяла виконати код на сервері. Активно використовується ботами для організації майнінгу криптовалюти на серверах.
- Критична вразливість поштового сервера Exim, що дозволяє виконати код на сервері з правами root;
- Вразливості в IP-камерах Xiongmai XMeye P2P, через які можна захопити керування пристроєм. Камери постачались з інженерним паролем і не проходили перевірку цифрового підпису під час оновлення прошивки;
- Критична вразливість в реалізації протоколу RDP у Windows, що дозволяла виконати свій код дистанційно;
- Вразливість у WordPress, пов'язана із завантаженням PHP-коду, схованого у зображенні. Через це можна виконати на сервері будь-який код з привілеями автора публікації.
Найкраща помилка у клієнтському ПЗ
Переможець — вразливість у системі групових викликів Apple FaceTime. Ініціатор виклику міг мусити пристрій іншого абонента прийняти виклик без згоди користувача.
Інші номінанти:
- Вразливість у WhatsApp, що дозволяє виконати свій код, якщо надіслати спеціально оформлений голосовий виклик;
- Помилка у графічній бібліотеці Skia, якою послуговується Chrome і яка може спричинити пошкодження пам'яті.
Найкраща помилка з наданням привілеїв
Переможець — вразливість у ядрі iOS, яку можна експлуатувати через ipc_voucher, доступний через браузер Safari.
Інші номінанти:
- Вразливість у Windows, через яку можна отримати повний контроль над системою, завдяки маніпуляціям з функцією CreateWindowEx (win32k.sys). Проблему виявили під час аналізу шкідливого ПЗ, що експлуатувало вразливість ще до її виправлення;
- Вразливість у runc і LXC, що стосується Docker та інших систем контейнерної ізоляції. Дозволяє зловмиснику змінити виконуваний файл runc і отримати root-привілеї з боку хост-системи;
- Вразливість в iOS (CFPrefsDaemon), через яку можна обійти режими ізоляції та запустити код з правами root;
- Вразливість у TCP-стекові Linux, яким послуговується Android. Дозволяє локальному користувачу отримати більші привілеї на своєму пристрої;
- Вразливість у systemd-journald, через яку можна отримати права root;
- Вразливості в утиліті tmpreaper для чистки /tmp, дозволяють зберігати свій файл у будь-якій частині файлової системи.
Найкраща криптографічна атака
Відзнака за виявлення найсуттєвіших пробілів у реальних системах, протоколах і алгоритмах шифрування. Цьогоріч перемогли дослідники, що знайшли вразливості у технології захисту бездротових мереж WPA3 і в EAP-pwd. Через них можна було відтворити пароль з'єднання й отримати доступ до бездротової мережі.
Інші номінанти:
- Метод атаки шифрування PGP і S/MIME у поштових клієнтах;
- Застосування методу холодного перезавантаження для отримання доступу до зашифрованих частин Bitlocker;
- Вразливість в OpenSSL, що дозволяє зловмиснику отримати вміст зашифрованого тексту;
- Проблеми у німецьких ідентифікаційних картках, що використовують SAML;
- Проблема з ентропією випадкових чисел у реалізації підтримки токенів U2F в СhromeOS;
- Вразливість у Monocypher, завдяки якій нульові сигнатури EdDSA визначались як коректні.
Найбільш інноваційне дослідження
Переможцем став розробник техніки Vectorized Emulation, що використовує векторні інструкції AVX-512 для емуляції виконання програм. Це дозволяє суттєво пришвидшити fuzzing-тестування (до 40-120 млрд інструкцій за секунду) і паралельно запускати вісім 64-розрядних або шістнадцять 32-розрядних віртуальних машин.
Інші номінанти:
- Вразливість технології Power Query з MS Excel. Дозволяє виконати код і обійти методи ізоляції застосунку, якщо відкрити спеціально оформлені електронні таблиці;
- Обман автопілоту Tesla, що змушує авто виїхати на зустрічну смугу;
- Зворотний інжиніринг ASICS чипа Siemens S7-1200;
- SonarSnoop — техніка відстеження руху пальців для визначення коду телефона. Базується на принципі гідролокатора: динаміки смартфона генерують коливання, а вбудовані мікрофони їх ловлять.
- Розробка NSA для зворотного інжинірингу Ghidra;
- SAFE — спосіб визначити, чи використовуються однакові функції в декількох виконуваних файлах на базі аналізу бінарних збірок;
- Спосіб обійти механізм Boot Guard для завантаження модифікованих UEFI-прошивок без перевірки цифрового підпису.
Найгірша реакція вендора (Lamest Vendor Response)
На повідомлення про вразливість у його продукті. Переможцями стали розробники криптовалюти BitFi, які переконували у надзвичайній безпеці свого продукту. Насправді безпека виявилась сумнівною, а дослідникам, які виявили вразливості, не заплатили обіцяних премій і агресивно ображали їх в соцмережах.
Інші номінанти:
- Дослідник безпеки, який звинуватив директора Atrient у нападі, щоб змусити його видалити звіт про вразливість. Однак директор все заперечує, а камери спостереження інциденту не зафіксували;
- Компанія Zoom, котра не поспішала виправити критичну вразливість у своїй системі конференц-зв'язку — зловмисник міг отримати дані з камер користувачів macOS. Проблему виправили лише після її оприлюднення.
- Неспроможність протягом 10 років виправити проблему з серверами криптографічних ключів OpenPGP — тому що код написаний специфічною мовою OCaml.
Найбільш роздута новина про вразливість
Нагорода за найбільш масштабно й пафосно розкручене в ЗМІ повідомлення про вразливість (особливо, якщо вона не може експлуатуватись на практиці). Цьогорічний переможець — видання Bloomberg і його публікація про шпигунські чипи у платах Super Micro: жодних доказів цього так і не знайшлось. Також видання Bloomberg отримало нагороду в номінації Most Epic FAIL — за регулярні та сенсаційні статті, присвячені кібербезпеці та написані в стилі фанфікшн.
Ще немає коментарів