image

Pwnie Awards 2019: De meest interessante lekken in de schijnwerpers

vrijdag 9 augustus 2019, 10:43 door Redactie, 2 reacties

Het jaar is nog niet voorbij, maar wie een uitgebreid overzicht wil hebben van de meest interessante beveiligingslekken en onderzoeken van de afgelopen maanden is bij de Pwnie Awards aan het juiste adres. De Pwnie Awards is een jaarlijks terugkerende awardsshow tijdens de Black Hat-conferentie in Las Vegas waar innovatief beveiligingsonderzoek in de schijnwerpers wordt gezet, maar ook leveranciers die zich er met een jantje-van-leiden proberen af te maken.

Dit jaar werden ook twee nieuwe awards geïntroduceerd: voor het meest 'under-hyped' onderzoek en die voor 'epic achievement'. De pwnies kijken met een knipoog naar de beveiligingsindustrie, maar laten aan de andere kant goed zien wat er allemaal speelt. Tijdens de editie van 2019 werden in totaal tien 'paardjes' uitgedeeld.

Beste Server-Side Bug

In deze categorie waren zes kwetsbaarheden genomineerd, waarvan er twee door onderzoeker Orange Tsai waren gevonden. Hij kreeg de award voor een beveiligingslek in Pulse Secure SSL VPN dat hij samen met Meh Chang ontdekte. De vpn-software van Pulse Secure wordt door allerlei grote bedrijven gebruikt, waaronder Twitter, Uber en Microsoft. Een beveiligingslek in Pulse Secure maakte het mogelijk voor aanvallers om zonder inloggegevens de vpn-server van het bedrijf over te nemen, alsmede alle vpn-clients. Alleen toegang via https en het versturen van een speciaal geprepareerde uri was voldoende. Deze kwetsbaarheid werd op een schaal van 1 tot en met 10 wat betreft de ernst en impact met een 10 beoordeeld. Twee andere beveiligingslekken in de vpn-software die de onderzoekers vonden kregen een 9,9 als beoordeling.

Beste Client-Side Bug

Met de belangrijke rol die chat-applicaties tegenwoordig spelen, en beveiligingslekken hierin daardoor grote gevolgen hebben, is het niet verwonderlijk dat in de categorie Beste Client-Side Bug drie vermeldingen voor chat-applicaties zijn. WhatsApp greep met twee vermeldingen, waarvan één voor een lek dat actief werd gebruikt om de telefoons van WhatsApp-gebruikers met spyware te infecteren, naast de prijs. De 14-jarige Grant Thompson haalde begin dit jaar het wereldnieuws vanwege een kwetsbaarheid in Apples FaceTime waardoor het mogelijk was om gebruikers af te luisteren. De bug zorgt ervoor dat de microfoon van de gebelde persoon wordt geactiveerd, nog voordat die heeft opgenomen. Als de gebruiker vervolgens het gesprek wegdrukt via de aan- of uitknop of de volumeknop, wordt ook de camera ingeschakeld. Apple kwam in februari met een update voor het probleem en beloonde de tiener met een niet nader genoemd geldbedrag.

Beste Privilege Escalation Bug

Via privilege escalation bugs kan een aanvaller die al toegang tot een systeem heeft zijn rechten verder verhogen om zo systeem-, root- of kernelrechten te krijgen. Zodoende is het mogelijk om een systeem verder te compromitteren en wordt het lastiger om bijvoorbeeld malware te verwijderen. De afgelopen maanden zijn er verschillende zeroday-aanvallen geweest waarbij aanvallers van onbekende privilege escalation bugs gebruikmaakten. Voor deze categorie waren bijvoorbeeld twee bugs in iOS en Windows genomineerd die bij dergelijke aanvallen waren ingezet. De award ging uiteindelijk naar beveiligingsonderzoeker Qixun Zhao voor een beveiligingslek in de iOS-kernel die via Safari was te bereiken en uiteindelijk voor een jailbreak werd ingezet. Zhao wist met het lek eerder ook de TianfuCup-hackingwedstrijd te winnen.

Beste Cryptografische Aanval

Belgisch succes was er in de categorie Beste Cryptografische Aanval. De Belgische onderzoeker Mathy Vanhoef, bekend vanwege zijn KRACK-aanval op WPA2, kreeg samen met Eyal Ronen de award voor zijn Dragonblood-aanval op WPA3. De onderzoekers ontdekten een kwetsbaarheid in de nieuwe wifi-standaard waardoor een aanvaller het wifi-wachtwoord kan achterhalen. "Het is voor ons duidelijk dat wifi-standaardengroepen één of andere oude mummievloek over zich hebben afgeroepen, omdat wifi-standaarden op zichzelf al een master class zijn in alles wat mis kan gaan met een cryptoprotocol en WPA3 is op zichzelf al een les in alles dat kan misgaan bij een enkele handshake", aldus de jury.

Meest Innovatieve Onderzoek

Onderzoek speelt een belangrijke rol in de security-industrie en voor de onderzoeker of onderzoekers die het afgelopen jaar het meest innovatieve onderzoek lieten zien is er ook een Pwnie Award. De prijs ging naar Brandon Falk voor zijn werk naar het gebruik van vectorized emulation binnen fuzzing. Vectorized emulation zorgt ervoor dat virtual machines sneller kunnen draaien dan normaliter het geval is, door een programma via gevectoriseerde instructies te herschrijven. Zodoende is het mogelijk om zestien verschillende virtual machines te draaien en die voor fuzzing te gebruiken, een manier om kwetsbaarheden in software te vinden.

"Lamest" Reactie van Leverancier

Niet alle leveranciers reageren even goed als er een beveiligingslek in hun product wordt gerapporteerd. Vorig jaar ging de prijs naar de "onhackbare" en door John McAfee gesteunde bitcoinwallet BitFi en dit jaar was het weer raak. BitFi claimt dat het niet te kraken is, maar meerdere onderzoekers lukte dit. Zo lieten onderzoekers een video van McAfee op het scherm van de hardware wallet zien en claimde BitFi dat het rooten van het apparaat niet inhoudt dat het gehackt is. Dit jaar werden onderzoekers herhaaldelijk op social media door BitFi beledigd. Reden genoeg voor de jury om de prijs opnieuw aan het bedrijf uit te delen. Videoconferentiesoftware Zoom, encryptiesoftware GnuPG en securitybedrijf Atrient weten deze pijnlijke award daardoor te ontlopen.

Epic Fail

Een verhaal dat eind vorig jaar veel stof deed opwaaien was "The Big Hack" van Bloomberg. Volgens de publicatie had het Chinese leger backdoors aan de moederborden van fabrikant Supermicro weten toe te voegen. Deze gebackdoorde moederborden zouden bij tal van grote bedrijven zijn gebruikt, waaronder Amazon en Apple aldus Bloomberg. Zowel Supermicro als Amazon en Apple ontkenden het verhaal. Tal van beveiligingsexpert vroegen om opheldering. Er werd echter geen bewijs gegeven, maar Bloomberg bleef volhouden dat het de waarheid sprak.

Daarnaast bestempelde de publicatie end-to-end-encryptie als een "gimmick" vanwege een kwetsbaarheid in WhatsApp waardoor het mogelijk was om toegang tot de inhoud van chatgesprekken te krijgen. Reden genoeg voor de jury om Bloomberg de "Epic Fail" award te geven. Daarmee laat de publicatie onder andere computerfabrikant Asus achter zich. Het bedrijf was genomineerd omdat aanvallers de update-infrastructuur van de computerbouwer hadden overgenomen en gebruikten om backdoors onder gebruikers te verspreiden. De supply chain-aanval kon maandenlang doorgaan voordat die werd ontdekt.

Over-hyped Bug

Bloomberg ging vanwege The Big Hack ook met de Pwnie Award voor de meest "over-hyped bug" naar huis. Dit is de award voor onderzoekers die een beveiligingslek vinden dat voor de meeste hype op internet en in de traditionele media zorgt. "Dit was zeker het computersecurityverhaal van het jaar, misschien zelfs het decennium, behalve voor een detail. Het lijkt allemaal bullshit te zijn", aldus de jury.

Under-Hyped Onderzoek

Niet alle beveiligingslekken en onderzoeken krijgen de aandacht die ze verdienen. Om deze "vergeten" onderzoekers te eren werd er dit jaar een nieuwe categorie geïntroduceerd, de Pwnie Award voor het meest under-hyped onderzoek. Opmerkelijk aan de winner is dat die zowel in de categorie over-hyped als under-hyped was genomineerd. Thrangrycat is de naam voor een aanval waarmee het mogelijk is om het secure bootmechanisme van Cisco-apparaten te omzeilen. Om de aanval uit te kunnen voeren moest een aanvaller wel al roottoegang tot het apparaat hebben. "Dan heb je andere problemen als aanvallers dit tegen je gebruiken", zo merkte de jury op. Aan de andere kant is het via de aanval wel mogelijk om een Cisco-router te compromitteren.

Epic Achievement

Eén van de twee nieuwe categorieën dit jaar was de award voor "Epic Achievement". Steve Christey Coley wist de NSA (voor het uitbrengen van reverse engineeringtool Ghidra) en Google (voor Web Authentication om zonder wachtwoord in te loggen) achter zich te laten. Coley is engineer bij MITRE en beheerder van de CVE-lijst. Het Common Vulnerabilities and Exposures (CVE) nummer is de wereldwijde standaard voor het toekennen van een identificatienummer aan kwetsbaarheden. Via CVE-nummer kunnen beveiligingslekken worden gevolgd, bijvoorbeeld in de beveiligingsbulletins van leveranciers. Coley houdt al jaren de CVE-nummers en hun omschrijvingen bij.

Reacties (2)
09-08-2019, 14:20 door Anoniem
Ja, CVE is echt een Epic Achievement.

Peter
10-08-2019, 21:41 door Anoniem
Door Anoniem: Ja, CVE is echt een Epic Achievement.

Peter

Ben blij dat iemand het voor ons doet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.