Премия Pwnie Awards 2017 выделила наиболее существенные уязвимости и провалы в безопасности

На прошедшей в Лас Вегасе конференции Black Hat состоялась церемония вручения премии Pwnie Awards 2017, в рамках которой выделены наиболее значительные уязвимости и абсурдные провалы в области компьютерной безопасности. Pwnie Awards считается аналогом Оскара в области компьютерной безопасности и проводится ежегодно, начиная с 2007 года.

• Самый ламерский ответ вендора (Lamest Vendor Response). Номинация за самую неадекватную реакцию на сообщение об уязвимости в собственном продукте.
  
  Победителем признан Леннарт Поттеринг (Lennart Poettering) за систематическое непризнание уязвимостей и внесение исправлений без указания в списке изменений или тексте коммитов упоминаний CVE и отношении исправления к проблемам с безопасностью. В качестве примеров приводятся сообщения об ошибках 5998, 6225, 6214, 5144 и 6237 с разыменованиями нулевых указателей, записью за пределы буфера и даже запуском сервисов с повышенными привилегиями, которые Поттеринг отказался рассматривать как уязвимости.
  
  В качестве претендента на получение премии также рассматривался проект Nomx, которые позиционировался как реализация наиболее защищенного коммуникационного протокола, а на деле оказался примером наплевательского отношения к безопасности. На получение премии также претендовал Simon Smith за его работу по написанию запросов на удаление роликов в Youtube и заметок в блогах, в которых публиковались сведения об уязвимостях в его продуктах 1IQ, eVestigator, RPL Central и Official Intelligence (коммерческие форки Onion Browser и разных открытых мобильных приложений).
• Лучшая серверная ошибка. Присуждается за выявление и эксплуатацию наиболее технически сложной и интересной ошибки в сетевом сервисе. Премия присуждена группе Equation, которая связывается с деятельностью Агентства Национальной Безопасности США (АНБ), за подготовку эксплоитов для атаки на Windows SMB, которые были опубликованы командой Shadow Brokers вместе с порцией других данных, полученных в результате утечки информации из АНБ.
  
  Из не получивших премию претендентов можно отметить критическую уязвимость (CVE-2016-6309) в OpenSSL, которая образовалась в результате исправления другой неопасной уязвимости и могла привести к выполнению кода злоумышленника при обработке отправленных им пакетов. Также отмечены уязвимости Cloudbleed (утечка неинициализированных отрывков оперативной памяти прокси-серверов Cloudflare), CVE-2017-0290 (удаленный запуск кода в Microsoft WinDefender), CVE-2017-5689 (обход аутентификации в технологии Intel AMT) и CVE-2016-6432 (удаленный запуск кода в Cisco ASA).
• Лучшая ошибка в клиентском ПО. Победителем признана уязвимость в Microsoft Office (CVE-2017-0199), позволявшая организовать выполнение кода через манипуляцию с OLE-объектами. На получение премии также претендовали: уязвимость в gstreamer-плагине для обработки музыкального формата SNES, который воспроизводил SNES через эмуляцию машинных кодов звукового процессора Sony SPC700 при помощи эмулятора Game Music Emu; серия уязвимостей, позволивших получить root-доступ в Chrome OS; уязвимости CVE-2016-5197 и CVE-2016-5198, позволившие получить полный контроль над Android Nougat при открытии специальной страницы в Chrome.
• Лучшая уязвимость, приводящая к повышению привилегий. Победа присуждена создателям атаки Drammer, которая позволяет получить привилегии root на платформе Android не эксплуатируя явных уязвимостей в ПО, а пользуясь уязвимостью чипов памяти DRAM (RowHammer, позволяет исказить содержимое отдельных битов памяти путем цикличного чтения данных из соседних ячеек памяти).
  
  На получение премии также претендовали: уязвимость (CVE-2017-7228) в Xen, позволяющая получить доступ ко всей системной памяти из гостевой системы; root-уязвимость в ядре Linux (CVE-2017-7184), примененная на конкурсе Pwn2Own для атаки на Ubuntu; серия уязвимостей, связанных с применением структур task_t; уязвимость Blitzard (CVE-2016-1815) в ядре macOS.
• Лучшая криптографическая атака. Присуждается за выявление наиболее значимых брешей в реальных системах, протоколах и алгоритмах шифрования. Премия присуждена команде, разработавшей практический метод генерации коллизии для SHA-1. Претендентами на получение премии также были FFS (Flip Feng Shui, метод скрытого изменения памяти чужих виртуальных машин) и атака на RFC 7516 (JSON Web Encryption, JWE), позволяющая отправителю извлечь закрытый ключ получателя.
• Лучший бэкдор. Присуждается за представление или обнаружение бэкдора, наиболее изощренного с технической точки зрения или опасного с точки зрения широты распространения. Премия присуждена бэкдору M.E.Doc, устанавливаемому вредоносным ПО NotPetya. Претендентами на получение премии был бэкдор в отладочном коде модифицированного ядра Linux для систем Allwinner и бэкдор в SonicWall GMS.
• Лучший брендинг. Присуждается на наиболее заметное продвижение информации об уязвимости как продукта. Последнее время уязвимости используются как инфоповод для своего продвижения. Для уязвимостей запускают отдельные сайты, создают логотипы и присваивают заметные имена. Победа в данной номинации присуждена уязвимости GhostButt (CVE-2017-8291) для которой даже была написана своя песня. Претенденты: RingRoad, DirtyCOW, Cloudbleed.
• Наиболее инновационное исследование. Премия прусуждена авторам новой техники обхода механизма защиты ASLR (Address space layout randomization), которая может быть реализована на языке JavaScript и использована при эксплуатации уязвимостей в web-браузерах. На получение премии претендовали: инструментарий fuzzing-тестирования Fuzzy Lop; демонстрация перехвата звонков/SMS и создания фиктивных звонков/SMS от другого пользователя в сотовых LTE-сетях; инструмент для выявления уязвимостей Bochspwn Reloaded; техника атаки Drammer.
• Наиболее раздутое объявление об уязвимости. Присуждается за наиболее пафосное и масштабное освещение проблемы в интернете и СМИ, особенно если в итоге уязвимость оказывается неэксплуатируема на практике. Премией отмечена уязвимость Dirty Cow (CVE-2016-5195), которая является ничем не примечательной локальных уязвимостей в ядре Linux, которые вплывают регулярно. Но в отличие от остальных проблем для Dirty Cow создан свой сайт, логотим и аккаунт в Twitter.
  
  В номинации также упомянуты: уязвимость в Cryptsetup (CVE-2016-4484), которая была излишне демонизирована несмотря на возможность совершения атаки, только при физическом доступе к оборудованию; исследователь, выявивший код для деактивации атаки вредоносного ПО Wannacry был возвеличен в СМИ как спаситель человечества и герой; атака Cloak and Dagger, для которой заведен свой сайт, на деле бессмысленна, так как требует, чтобы жертва установила специальное приложение с правами вывода поверх других окон.
• Самый большой провал (Most Epic FAIL). Победа присуждена премьер-министру Австралии, который выступил за законодательный запрет оконечного (end-to-end) шифрования в мессенджерах и заявил, что законы Австралии главнее, чем законы природы (законы математики). Среди других претендентов: выпускаемый Лабораторией Касперского защищенный браузер для iOS (HTTPSafe Browser) на деле не проверял валидность SSL-сертификатов для всех сайтов, кроме тех, что уже находились в черном списке; издание Intercept случайно раскрыло источник утечки информации, который тщательно скрывала, не закрасив подпись на скане документа; уязвимость Cloudbleed в результате которой открывки конфеденциальных данных клиентов Cloudflare засветились в поисковых системах.
• Самое значительное проникновение (Epic 0wnage). Вручается за самый разрушительный и наиболее освещаемый СМИ взлом, а также за публикацию информации об уязвимости, приведшей к этому взлому. Премию поделили вредоносное ПО WannaCry и деятельность Shadow Brokers по публикации эксплоитов, полученных в результате утечки информации из АНБ.

Android Intel Microsoft Sony