Pwnie Awards 2017: наиболее существенные уязвимости и провалы в безопасности

На прошедшей в Лас Вегасе конференции Black Hat состоялась церемония вручения премии Pwnie Awards 2017, в рамках которой выделены наиболее значительные уязвимости и абсурдные провалы в области компьютерной безопасности. Pwnie Awards считается аналогом Оскара в области компьютерной безопасности и проводится ежегодно, начиная с 2007 года.

Основные номинации:

• Самый ламерский ответ вендора (Lamest Vendor Response). Номинация за самую неадекватную реакцию на сообщение об уязвимости в собственном продукте. Победителем признан Леннарт Поттеринг (Lennart Poettering) за систематическое непризнание уязвимостей и тихое внесение исправлений без указания в списке изменений или тексте коммитов номеров CVE и без упоминания связи исправления с проблемами безопасности. В качестве примеров приводятся сообщения об ошибках 5998, 6225, 6214, 5144 и 6237 с разыменованиями нулевых указателей, записью за пределы буфера и запуском сервисов с повышенными привилегиями, которые Поттеринг отказался рассматривать как уязвимости.

В качестве претендентов на получение премии также рассматривались:

о Проект Nomx, который позиционировался как реализация наиболее защищённого коммуникационного протокола, а на деле оказался примером наплевательского отношения к безопасности.

о Simon Smith за его работу по написанию запросов на удаление роликов в Youtube и заметок в блогах, в которых публиковались сведения об уязвимостях в его продуктах 1IQ, eVestigator, RPL Central и Official Intelligence (коммерческие форки Onion Browser и разных открытых мобильных приложений).

• Лучшая серверная ошибка. Присуждается за выявление и эксплуатацию наиболее технически сложной и интересной ошибки в сетевом сервисе. Премия присуждена группе Equation, которая связывается с деятельностью Агентства Национальной Безопасности США (АНБ), за подготовку эксплоитов для атаки на Windows SMB, которые были опубликованы командой Shadow Brokers вместе с порцией других данных, полученных в результате утечки информации из АНБ.

Из не получивших премию претендентов можно отметить:

о Критическая уязвимость (CVE-2016-6309) в OpenSSL, которая образовалась в результате исправления другой неопасной уязвимости и могла привести к выполнению кода злоумышленника при обработке отправленных им пакетов.

о Уязвимостт Cloudbleed - утечка неинициализированных отрывков оперативной памяти прокси-серверов Cloudflare.

о CVE-2017-0290 - удалённый запуск кода в Microsoft WinDefender.

о CVE-2017-5689 - обход аутентификации в технологии Intel AMT.

о CVE-2016-6432 - удалённый запуск кода в Cisco ASA.

• Лучшая ошибка в клиентском ПО. Победителем признана уязвимость в Microsoft Office (CVE-2017-0199), позволявшая организовать выполнение кода через манипуляцию с OLE-объектами.

На получение премии также претендовали:

о Уязвимость в gstreamer-плагине для обработки музыкального формата SNES, который воспроизводил SNES через эмуляцию машинных кодов звукового процессора Sony SPC700 при помощи эмулятора Game Music Emu.

о Серия уязвимостей, позволивших получить root-доступ в Chrome OS.

о Уязвимости CVE-2016-5197 и CVE-2016-5198, позволившие получить полный контроль над Android при открытии специальной страницы в Chrome.

• Лучшая уязвимость, приводящая к повышению привилегий. Победа присуждена создателям атаки Drammer, которая позволяет получить привилегии root на платформе Android не эксплуатируя явных уязвимостей в ПО, а пользуясь уязвимостью чипов памяти DRAM (RowHammer, позволяет исказить содержимое отдельных битов памяти путём цикличного чтения данных из соседних ячеек памяти).

На получение премии также претендовали:

о Уязвимость (CVE-2017-7228) в Xen, позволяющая получить доступ ко всей системной памяти из гостевой системы.

о Root-уязвимость в ядре Linux (CVE-2017-7184), применённая на конкурсе Pwn2Own для атаки на Ubuntu.

о Серия уязвимостей, связанных с применением структур task_t.

о Уязвимость Blitzard (CVE-2016-1815) в ядре macOS.

• Лучшая криптографическая атака. Присуждается за выявление наиболее значимых брешей в реальных системах, протоколах и алгоритмах шифрования. Премия присуждена команде, разработавшей практический метод генерации коллизии для SHA-1.

Претендентами на получение премии также были:

о FFS (Flip Feng Shui), метод скрытого изменения памяти чужих виртуальных машин.

о Атака на RFC 7516 (JSON Web Encryption, JWE), позволяющая отправителю извлечь закрытый ключ получателя.

• Лучший бэкдор. Присуждается за представление или обнаружение бэкдора, наиболее изощрённого с технической точки зрения или опасного с точки зрения широты распространения. Премия присуждена бэкдору M.E.Doc, устанавливаемому вредоносным ПО NotPetya. Претендентами на получение премии был бэкдор в отладочном коде модифицированного ядра Linux для систем Allwinner и бэкдор в SonicWall GMS.

• Лучший брендинг. Присуждается на наиболее заметное продвижение информации об уязвимости как продукта. Последнее время уязвимости используются как инфоповод для своего продвижения. Для уязвимостей запускают отдельные сайты, создают логотипы и присваивают заметные имена. Победа в данной номинации присуждена уязвимости GhostButt (CVE-2017-8291) для которой даже была написана своя песня. Претенденты: RingRoad, DirtyCOW, Cloudbleed.

• Наиболее инновационное исследование. Премия прусуждена авторам новой техники обхода механизма защиты ASLR (Address space layout randomization), которая может быть реализована на языке Javascript и использована при эксплуатации уязвимостей в web-браузерах.

На получение премии претендовали:

о Инструментарий fuzzing-тестирования Fuzzy Lop.

о Демонстрация перехвата звонков/SMS и создания фиктивных звонков/SMS от другого пользователя в сотовых LTE-сетях.

о Инструмент для выявления уязвимостей Bochspwn Reloaded; техника атаки Drammer.

• Наиболее раздутое объявление об уязвимости. Присуждается за наиболее пафосное и масштабное освещение проблемы в интернете и СМИ, особенно если в итоге уязвимость оказывается неэксплуатируема на практике.

В номинации упомянуты:

о Уязвимость Dirty Cow (CVE-2016-5195), которая является локальной уязвимостью в ядре Linux, ничем не примечательной перед другими подобными проблемами, которые вплывают регулярно. Но в отличие от остальных проблем для Dirty Cow создан свой сайт, логотип и аккаунт в Twitter.

о Уязвимость в Cryptsetup (CVE-2016-4484), которая была излишне демонизирована несмотря на возможность совершения атаки, только при физическом доступе к оборудованию.

о Исследователь, выявивший код для деактивации атаки вредоносного ПО Wannacry был возвеличен в СМИ как спаситель человечества и герой.

о Атака Cloak and Dagger, для которой заведён свой сайт, на деле бессмысленна, так как требует, чтобы жертва установила специальное приложение с правами вывода поверх других окон.

Самый большой провал (Most Epic FAIL). Победа присуждена премьер-министру Австралии, который выступил за законодательный запрет оконечного (end-to-end) шифрования в мессенджерах и заявил, что законы Австралии главнее, чем законы природы (законы математики).

Среди других претендентов:

о Выпускаемый Лабораторией Касперского защищённый браузер для iOS (HTTPSafe Browser) на деле не проверял валидность SSL-сертификатов для всех сайтов, кроме тех, что уже находились в чёрном списке.

о Издание Intercept случайно раскрыло источник утечки информации, который до этого тщательно скрывала, не закрасив подпись на скане документа.

о Уязвимость Cloudbleed в результате которой открывки конфеденциальных данных клиентов Cloudflare засветились в поисковых системах.

• Самое значительное проникновение (Epic 0wnage). Вручается за самый разрушительный и наиболее освещаемый СМИ взлом, а также за публикацию информации об уязвимости, приведшей к этому взлому. Премию поделили вредоносное ПО WannaCry и деятельность Shadow Brokers по публикации эксплоитов, полученных в результате утечки информации из АНБ.