0
0
Para seu 25º aniversário, a venerável conferência de hackers Black Hat promete mais de 80 apresentações sobre uma ampla variedade de tópicos, desde hacking de hardware e firmware até descobertas de malware de dia zero até as mais recentes e melhores pesquisas de APT.
Os editores da SecurityWeek vasculharam a agenda cuidadosamente e identificaram as 10 sessões da Black Hat USA 2022 que serão manchetes durante toda a semana. Aqui está a lista de palestras que valem seu tempo e atenção:
1. RollBack – Um novo ataque de repetição agnóstico de tempo contra os sistemas automotivos remotos de entrada sem chave (pesquisadores da Universidade de Cingapura e NCS Group).
Os sistemas Automotive Remote Keyless Entry (RKE) implementam códigos de rolagem descartáveis, tornando cada botão de controle remoto único, prevenindo efetivamente ataques de repetição simples. No entanto, o RollJam provou quebrar todos os sistemas baseados em código rolante em geral. Por uma sequência cuidadosa de interferência, captura e reprodução de sinal, um invasor pode tomar conhecimento do sinal de desbloqueio válido subsequente que ainda não foi usado. O RollJam, no entanto, requer implantação contínua indefinidamente até que seja explorado. Caso contrário, os sinais capturados se tornarão inválidos se o chaveiro for usado novamente sem o RollJam instalado.
Apresentamos o RollBack, um novo ataque de repetição e ressincronização contra a maioria dos sistemas RKE atuais. Em particular, mostramos que, embora o código de uso único se torne inválido em sistemas de código rolante, existe uma maneira de utilizar e reproduzir sinais capturados anteriormente que acionam um mecanismo semelhante a reversão no sistema RKE. Dito de outra forma, os códigos rolantes podem ser ressincronizados de volta para um código anterior usado no passado, de onde todos os sinais subsequentes, mas já usados, funcionam novamente. Além disso, a vítima ainda pode usar o chaveiro sem perceber nenhuma diferença antes e depois do ataque.
Por que é relevante? Como abordamos no passado , esses tipos de ataques práticos em automóveis modernos ( consulte RollingPwn ) já estão aqui e os avanços na pesquisa de segurança ofensiva ajudarão a identificar – e corrigir – problemas de segurança antes que sejam explorados em estado selvagem.
2. Industroyer2: A ciberguerra da Sandworm tem como alvo a rede elétrica da Ucrânia novamente (Robert Lipovsky e Anton Cherepanov, ESET).
O Industroyer2 – uma nova versão do único malware que já acionou apagões de eletricidade – foi implantado na Ucrânia em meio à invasão russa em andamento. Assim como em 2016 com o Industroyer original, o objetivo deste recente ataque cibernético era causar um grande apagão – desta vez contra mais de dois milhões de pessoas e com componentes amplificando o impacto, dificultando a recuperação. Os pesquisadores acreditam que os autores do malware e os orquestradores de ataques são o notório grupo Sandworm APT, atribuído pelo Departamento de Justiça dos EUA ao GRU da Rússia.
Esta apresentação cobre os detalhes técnicos: engenharia reversa do Industroyer2 e uma comparação com o original. O Industroyer é único em sua capacidade de se comunicar com o hardware ICS da subestação elétrica – disjuntores e relés de proteção – usando protocolos industriais dedicados. Enquanto o Industroyer contém implementações de quatro protocolos, o Industroyer2 “fala” apenas um: IEC-104.
Espere uma análise de alto nível do modus operandi dos invasores e discuta por que e como o ataque foi malsucedido. Uma das coisas mais intrigantes sobre o Industroyer tem sido o forte contraste entre sua sofisticação e seu impacto: um apagão com duração de uma hora no meio da noite não é o pior que poderia ter alcançado. O Industroyer2 nem conseguiu isso.
Por que isso Importa? Essas apresentações destacam um ator de ameaças do Apex capturado anteriormente usando algumas das ferramentas de malware mais destrutivas. Como informamos anteriormente , esse ataque de malware tem algumas implicações geopolíticas importantes e todas as novas divulgações serão acompanhadas de perto.
3. Déjà Vu: Descobrindo Algoritmos Roubados em Produtos Comerciais (Patrick Wardle, Objective-See e Tom McGuire, Johns Hopkins University)
Nesta palestra, discutimos o que parece ser um problema sistêmico que afeta nossa comunidade de segurança cibernética: o roubo e o uso não autorizado de algoritmos por entidades corporativas. Entidades que podem fazer parte da comunidade.
Primeiro, apresentaremos uma variedade de técnicas de pesquisa que podem apontar automaticamente para códigos não autorizados em produtos comerciais. Em seguida, mostraremos como a engenharia reversa e as técnicas de comparação binária podem confirmar essas descobertas.
Em seguida, aplicaremos essas abordagens em um estudo de caso do mundo real. Especificamente, vamos nos concentrar em uma ferramenta popular de uma organização sem fins lucrativos que sofreu engenharia reversa por várias entidades, de modo que seu algoritmo principal pudesse ser recuperado e usado (não autorizado) em vários produtos comerciais.
Por que isso importa? Espera-se que a palestra forneça dicas acionáveis, recomendações e abordagens estratégicas para confrontar entidades comerciais culpadas (e suas equipes jurídicas). Essas apresentações são importantes para manter os fornecedores honestos em suas negociações com a comunidade de segurança.
4. Monitoramento de fornecedores de vigilância: um mergulho profundo nas cadeias completas do Android in-the-wild em 2021 (equipe de engenharia de segurança do Google)
Nos últimos 12 meses, as equipes de TAG (Grupo de Análise de Ameaças) e Android Security do Google descobriram e analisaram várias explorações de 1 dia/0 dia por fornecedores de vigilância.
Esta apresentação promete detalhes técnicos sobre o CVE-2021-0920, uma vulnerabilidade de coleta de lixo do kernel Linux de 0 dias; não é bem conhecido publicamente, mas muito mais sofisticado e misterioso em contraste com as outras façanhas mencionadas.
A palestra discutirá o fornecedor que desenvolveu a exploração CVE-2021-0920 e conectará várias amostras de exploração do Android 0day/1day a esse fornecedor, incluindo tentativas de enviar um aplicativo malicioso para a Google Play Store e uso antecipado da exploração Bad Binder.
Ao analisar as explorações do fornecedor, encontramos uma cadeia completa direcionada a dispositivos Android. A cadeia de exploração usa explorações de navegador de 1 dia/dia CVE-2020-16040 e CVE-2021-38000 e 0 dia CVE-2021-0920 para fazer root remotamente em dispositivos Android.
Por que isso Importa? A descoberta de fornecedores privados de software comercial como perigosos comerciantes de spyware foi uma das maiores histórias do ano passado, quando empresas como NSO Group, Candiru e Cytrox ganharam manchetes globais. As equipes de pesquisa do Google têm rara visibilidade sobre o trabalho dessas empresas de exploração e essa conversa promete ser arrasadora.
5. Attack on Titan M, Reloaded: Vulnerability Research on a Modern Security Chip(Damiano Melotti e Maxime Rossi Bellom, Quarkslab)
O chip Titan M foi introduzido pelo Google em seus dispositivos Pixel 3 e, em um estudo anterior, analisamos esse chip e apresentamos seus componentes internos e proteções. Com base nesse histórico adquirido, nesta nova palestra, focaremos em como realizamos pesquisas de vulnerabilidade de software em um alvo tão restrito, apesar das informações limitadas disponíveis.
Vamos mergulhar em como nosso fuzzer de caixa preta funciona e suas limitações associadas. Em seguida, mostramos como as soluções baseadas em emulação conseguem superar as abordagens vinculadas ao hardware. Ao combinar um fuzzer guiado por cobertura (AFL++), um emulador (Unicorn) e algumas otimizações feitas sob medida para este alvo, conseguimos encontrar uma vulnerabilidade interessante, que permitia apenas definir um único byte para 1, com várias restrições no deslocamento . Apesar de parecer difícil de explorar, apresentamos como conseguimos obter a execução de código a partir dele e vazamos os segredos contidos no módulo seguro.
Por que isso Importa? A equipe de pesquisa de segurança móvel da Quarkslab está entre as mais qualificadas do mundo e sua demonstração de um Pixel RCE por meio do chip certamente levantará as sobrancelhas.
O primeiro projeto do Cyber Safety Review Board (CSRB) concentrou-se na crise do Log4j, identificando as principais lacunas em andamento e fazendo recomendações práticas para que as organizações evitem o próximo grande dia zero.
Esta conversa sobre o trabalho no CSRB incluirá Rob Silvers (subsecretário de políticas do DHS e presidente do conselho de revisão de segurança cibernética) e Heather Adkins (vice-presidente e vice-presidente de engenharia de segurança do Google) para uma discussão sobre a revisão de vulnerabilidade do Log4j, a principais conclusões do conselho e como a indústria e o governo podem implementar as recomendações.
Por que é importante: O CSRB é um projeto único e será fascinante ouvir os líderes de segurança cibernética sobre como um conselho de revisão pode ajudar a impulsionar mudanças transformacionais na segurança cibernética. O primeiro conjunto de recomendações do conselho já está circulando pela indústria e há muitas coisas controversas ainda a serem resolvidas.
7. Carregado por um elefante – um APT fabricando evidências para jogá-lo na cadeia(Juan Andres Guerrero-Saade e Tom Hegel, SentinelLabs)
É fácil esquecer o custo humano das ameaças patrocinadas pelo Estado operando com impunidade. Embora muitas vezes pensemos em espionagem, roubo de propriedade intelectual ou ganho financeiro como os objetivos dessas operações cibernéticas, há uma motivação muito mais insidiosa que voa sob o radar – APTs fabricando evidências para enquadrar e encarcerar oponentes vulneráveis.
Esta palestra se concentra nas atividades do ModifiedElephant, um agente de ameaças que opera há pelo menos uma década com vínculos com o setor de vigilância comercial. Mais importante, discutiremos como eles incriminaram ativistas que estão presos até hoje, apesar dos relatórios forenses que mostram que as evidências foram plantadas. E se isso não for suficientemente preocupante, mostraremos como vários atores de ameaças regionais estavam perseguindo essas mesmas vítimas antes de sua prisão. Esse conjunto de atividades representa uma dimensão criticamente subnotificada de como alguns governos estão abusando da tecnologia para silenciar os críticos, e esperamos que incite os pesquisadores de ameaças à ação.
Por que isso Importa? Como discutimos longamente, a combinação da indústria de hackers mercenários com agentes de ameaças patrocinados pelo Estado levou a algumas descobertas de malware surpreendentes. Preste atenção a algumas das implicações aqui para a sociedade civil.
8. O Google reinventou um telefone. Era nosso trabalho fazer a equipe vermelha e protegê-la (pesquisadores da equipe vermelha do Google)
Apesar do grande número de fornecedores de telefones, a maioria dos dispositivos Android é baseada em um subconjunto relativamente pequeno de fornecedores de sistema em um chip (SoC). O Google decidiu quebrar esse padrão com o Pixel 6. Do ponto de vista da segurança, isso significava que, em vez de usar um código testado e usado por anos, havia uma nova pilha de firmware de dispositivo de alto valor que precisávamos acertar na primeira vez.
Esta palestra abordará como o Android protegeu o Pixel 6 reimaginado antes de seu lançamento, concentrando-se na perspectiva do Android Red Team. A equipe demonstrará como testes fuzz, emuladores de caixa preta, análise estática e revisões manuais de código foram usados para identificar oportunidades para execução de código privilegiada em componentes críticos, como a primeira prova de conceito de ponta a ponta no chip Titan M2, como bem como ABL com persistência total, resultando em um desvio do atestado de chave de hardware.
Por que é importante: é relativamente raro que a equipe vermelha de um grande fornecedor de tecnologia se apresente e compartilhe publicamente vulnerabilidades e pontos fracos de segurança. Na verdade, nesta palestra, o Android Red Team planeja demonstrar várias demonstrações críticas de segurança, mostrando o valor do red teaming para o ciclo de lançamento do produto.
9. Ataques de dessincronização alimentados por navegador: uma nova fronteira no contrabando de solicitações HTTP (James Kettle, PortSwigger)
O recente aumento do HTTP Request Smuggling viu uma enxurrada de descobertas críticas, permitindo o comprometimento quase completo de vários sites importantes. No entanto, a ameaça foi confinada a sistemas acessíveis a invasores com um front-end de proxy reverso… até agora.
Nesta sessão, mostrarei como transformar o navegador da web de sua vítima em uma plataforma de entrega dessincronizada, mudando a fronteira de contrabando de solicitações, expondo sites de servidor único e redes internas. Você aprenderá como combinar solicitações entre domínios com falhas de servidor para envenenar pools de conexão do navegador, instalar backdoors e liberar worms de dessincronização. Com essas técnicas, comprometerei alvos, incluindo Apache, Akamai, Varnish, Amazon e várias VPNs da web.
Por que isso importa? O HTTP Request Smuggling é uma técnica de hacking muito usada que aumentou significativamente as apostas para a segurança de aplicativos da web. James Kettle e o pessoal da PortSwigger têm estado na vanguarda nesta área de pesquisa e essas lições e demonstrações atrairão todos os tipos de globos oculares.
10. RCE-as-a-Service: Lições aprendidas de 5 anos de compromisso de pipeline de CI/CD do mundo real (Iain Smart e Viktor Gazdag, NCC Group)
Nos últimos 5 anos, demonstramos inúmeros ataques à cadeia de suprimentos em pipelines de produção CI/CD para praticamente todas as empresas que testamos, com várias dezenas de compromissos bem-sucedidos de alvos que variam de pequenas empresas a empresas da Fortune 500 em quase todos os mercados e setores .
Nesta apresentação, explicaremos por que os pipelines de CI/CD são a superfície de ataque em potencial mais perigosa de sua cadeia de suprimentos de software. Para fazer isso, discutiremos os tipos de tecnologias que encontramos com frequência, como são usadas e por que são os alvos mais privilegiados e valiosos em toda a infraestrutura de sua empresa. Em seguida, discutiremos exemplos específicos (com demos!) de novos abusos da funcionalidade pretendida em pipelines automatizados que nos permitem transformar os pipelines de compilação de um simples utilitário de desenvolvedor em Remote Code Execution-as-a-Service.
Por que isso Importa? A segurança da cadeia de suprimentos de software tem sido um tópico de primeira linha e o trabalho de pesquisa em superfícies de ataque de pipeline de CI/CD certamente atrairá atenção nos níveis mais altos.
FONTE: SECURITYWEEK