На прошедшей в Лас Вегасе конференции Black Hat состоялась (https://www.theregister.co.uk/2017/07/28/black_hat_pwnie_awards/) церемония вручения премии Pwnie Awards 2017 (https://pwnies.com), в рамках которой выделены наиболее значительные уязвимости и абсурдные провалы в области компьютерной безопасности. Pwnie Awards считается аналогом Оскара в области компьютерной безопасности и проводится ежегодно, начиная с 2007 года.
Основные номинации (https://pwnies.com/nominations):
-
Самый ламерский ответ вендора
(Lamest Vendor Response). Номинация за самую неадекватную реакцию на сообщение об уязвимости в собственном продукте. Победителем признан Леннарт Поттеринг (Lennart Poettering) за систематическое непризнание уязвимостей и внесение исправлений без указания в списке изменений или тексте коммитов упоминаний CVE и отношении исправления к проблемам с безопасностью. В качестве примеров приводятся сообщения об ошибках 5998 (https://github.com/systemd/systemd/pull/5998), 6225 (https://github.com/systemd/systemd/pull/6225), 6214 (https://github.com/systemd/systemd/pull/6214), 5144 (https://github.com/systemd/systemd/issues/5144) и 6237 (https://github.com/systemd/systemd/issues/6237) с разыменованиями нулевых указателей, записью за пределы буфера и даже запуском сервисов с повышенными привилегиями, которые Поттеринг отказался рассматривать как уязвимости.
- В качестве претендента на получение премии также рассматривался проект Nomx, которые позиционировался как реализация наиболее защищённого коммуникационного протокола, а на деле оказался (https://www.opennet.dev/opennews/art.shtml?num=46466) примером наплевательского отношения к безопасности.
- На получение премии также претендовал Simon Smith за его работу по написанию запросов на удаление роликов в Youtube и заметок в блогах, в которых публиковались сведения об уязвимостях в его продуктах 1IQ, eVestigator, RPL Central и Official Intelligence (коммерческие форки Onion Browser и разных открытых мобильных приложений).
-
Лучшая серверная ошибка
. Присуждается за выявление и эксплуатацию наиболее технически сложной и интересной ошибки в сетевом сервисе. Премия присуждена группе Equation, которая связывается с деятельностью Агентства Национальной Безопасности США (АНБ), за подготовку эксплоитов для атаки на Windows SMB, которые были опубликованы (https://www.opennet.dev/opennews/art.shtml?num=46382) командой Shadow Brokers вместе с порцией других данных, полученных в результате утечки информации из АНБ. Из не получивших премию претендентов можно отметить:
- Критическая уязвимость (https://www.opennet.dev/opennews/art.shtml?num=45215) (CVE-2016-6309) в OpenSSL, которая образовалась в результате исправления другой неопасной уязвимости и могла привести к выполнению кода злоумышленника при обработке отправленных им пакетов;
- Уязвимостт Cloudbleed (https://www.opennet.dev/opennews/art.shtml?num=46100) - утечка неинициализированных отрывков оперативной памяти прокси-серверов Cloudflare;
- CVE-2017-0290 - удалённый запуск кода в Microsoft WinDefender;
- CVE-2017-5689 - обход аутентификации (https://www.opennet.dev/opennews/art.shtml?num=46482) в технологии Intel AMT;
- CVE-2016-6432 - удалённый запуск кода в Cisco ASA.
-
Лучшая ошибка в клиентском ПО
. Победителем признана уязвимость
в Microsoft Office (CVE-2017-0199), позволявшая организовать выполнение кода через манипуляцию с OLE-объектами. На получение премии также претендовали:
- Уязвимость (https://www.opennet.dev/opennews/art.shtml?num=45700) в gstreamer-плагине для обработки музыкального формата SNES, который воспроизводил SNES через эмуляцию машинных кодов звукового процессора Sony SPC700 при помощи эмулятора Game Music Emu;
- Серия уязвимостей (https://googleprojectzero.blogspot.ru/2016/12/chrome-os-expl...), позволивших получить root-доступ в Chrome OS;
- Уязвимости CVE-2016-5197 и CVE-2016-5198, позволившие (https://www.slideshare.net/CanSecWest/qidan-hegengming-liuca...) получить полный контроль над Android Nougat при открытии специальной страницы в Chrome.
-
Лучшая уязвимость, приводящая к повышению привилегий
. Победа присуждена создателям атаки Drammer, которая позволяет получить привилегии root на платформе Android не эксплуатируя явных уязвимостей в ПО, а пользуясь уязвимостью чипов памяти DRAM (RowHammer (https://www.opennet.dev/opennews/art.shtml?num=41340), позволяет исказить содержимое отдельных битов памяти путём цикличного чтения данных из соседних ячеек памяти). На получение премии также претендовали:
- Уязвимость (https://www.opennet.dev/opennews/art.shtml?num=46322) (CVE-2017-7228) в Xen, позволяющая получить доступ ко всей системной памяти из гостевой системы;
- root-Уязвимость (https://www.opennet.dev/opennews/art.shtml?num=46281) в ядре Linux (CVE-2017-7184), применённая (https://www.opennet.dev/opennews/art.shtml?num=46213) на конкурсе Pwn2Own для атаки на Ubuntu;
- Серия уязвимостей (https://bugs.chromium.org/p/project-zero/issues/detail?id=837), связанных с применением структур task_t;
- Уязвимость Blitzard (http://keenlab.tencent.com/en/2016/07/29/The-Journey-of-a-co.../) (CVE-2016-1815) в ядре macOS.
-
Лучшая криптографическая атака
. Присуждается за выявление наиболее значимых брешей в реальных системах, протоколах и алгоритмах шифрования. Премия присуждена команде, разработавшей (https://www.opennet.dev/opennews/art.shtml?num=46091) практический метод (https://www.opennet.dev/opennews/art.shtml?num=46102) генерации коллизии для SHA-1. Претендентами на получение премии также были:
- FFS (https://www.opennet.dev/opennews/art.shtml?num=44968) (Flip Feng Shui), метод скрытого изменения памяти чужих виртуальных машин;
- Атака на RFC 7516 (JSON Web Encryption, JWE), позволяющая отправителю извлечь закрытый ключ получателя.
-
Лучший бэкдор
. Присуждается за представление или обнаружение бэкдора, наиболее изощрённого с технической точки зрения или опасного с точки зрения широты распространения. Премия присуждена системе документооборота [[https://ru.wikipedia.org/wiki/M.E.Doc M.E.Doc]], в составе майского обновления которой на системы пользователей был установлен бэкдор, а через июньское обновление распространено вымогательское ПО NotPetya. Претендентами на получение премии был бэкдор (https://www.opennet.dev/opennews/art.shtml?num=44395) в отладочном коде модифицированного ядра Linux для систем Allwinner и бэкдор в SonicWall GMS.
-
Лучший брендинг
. Присуждается на наиболее заметное продвижение информации об уязвимости как продукта. Последнее время уязвимости используются как инфоповод для своего продвижения. Для уязвимостей запускают отдельные сайты, создают логотипы и присваивают заметные имена. Победа в данной номинации присуждена уязвимости GhostButt (http://ghostbutt.com/) (CVE-2017-8291) для которой даже была написана своя песня. Претенденты: RingRoad (http://www.ringroadbug.com/), DirtyCOW (http://dirtycow.ninja/), Cloudbleed (https://bugs.chromium.org/p/project-zero/issues/detail?id=11...).
-
Наиболее инновационное исследование
. Премия прусуждена авторам новой техники (https://www.opennet.dev/opennews/art.shtml?num=46062) обхода механизма защиты ASLR (Address space layout randomization), которая может быть реализована на языке JavaScript и использована при эксплуатации уязвимостей в web-браузерах. На получение премии претендовали:
- Инструментарий fuzzing-тестирования Fuzzy Lop (http://lcamtuf.coredump.cx/afl/);
- Демонстрация (https://www.youtube.com/watch?v=PQF5QPCsNS0) перехвата звонков/SMS и создания фиктивных звонков/SMS от другого пользователя в сотовых LTE-сетях;
- Инструмент для выявления уязвимостей Bochspwn Reloaded (http://j00ru.vexillium.org/?p=3295); техника атаки Drammer (https://vvdveen.com/publications/drammer.pdf).
-
Наиболее раздутое объявление об уязвимости
. Присуждается за наиболее пафосное и масштабное освещение проблемы в интернете и СМИ, особенно если в итоге уязвимость оказывается неэксплуатируема на практике. В номинации также упомянуты:
- Уязвимость Di...
URL: https://www.theregister.co.uk/2017/07/28/black_hat_pwnie_awards/
Новость: http://www.opennet.dev/opennews/art.shtml?num=46943