Nuestras experiencias al participar en el programa Azure Sphere Bounty de Microsoft


De junio a agosto, parte del equipo de McAfee Advanced Threat Research (ATR) participó en el desafío de investigación Azure Sphere de Microsoft. Nuestra investigación resultó en reporteEn g múltiple vulnerabilidades clasificado por Microsoft como "importante" o "crítico" en la plataforma que, hasta la fecha, tener calificado por más de $160, 000 USD en recompensas programado para ser contribuido a los ACLU ($ 100,000), Niños de St. Jude Investigación Hospital ($ 50,000) y PDX Hackerspace (aproximadamente PS20,000). Con estas contribuciones, esperamos apoyar y retribuir ambos a nuestra comunidad de hackers local que realmente ha intensificado para ayudar durante la crisis de COVID, y además Reconocer, a mayor escala, la importancia de proteger y promover la libertad civil.ies y el bienestar de los más necesitados.

Esta publicación de blog es una grandescripción general del nivel del programa, por qué elegimos participar en él y una breve descripción de nuestros hallazgos. UN detallado técnico recorrido de nuestros hallazgos se puede encontrar aquí.

Además, Microsoft ha publicado dos blogs de resumen que detallan el Programa de recompensas de Azure Sphere en su conjunto, incluidos los esfuerzos y hallazgos de McAfee. Pueden ser encontrados aquí:

Blog de MSRC

Blog del equipo de Azure Sphere Core

¿Qué es Azure Sphere y el desafío de investigación de Azure Sphere?

En lcomió mayo Microsoft inició una nueva recompensa por errores programa para sus Plataforma Azure Sphere. Azure Sphere es un dispositivo de IoT reforzado con un enlace de comunicación seguro a la nube que ha estado en desarrollo durante los últimos años y alcanzó disponibilidad general en principios de 2020. Microsoft diseñado y lo construyó desde cero para garantizar que cada aspecto sea lo más seguro posible, por su modelo de seguridad. Para poner la teoría a prueba, Microsoft invitó a algunos socios selectos y piratas informáticos a hacer todo lo posible para vencer su seguridad medidas.

El equipo de Azure Esfera Se le ocurrieron múltiples escenarios que probarían el modelo de seguridad del dispositivo y calificar para unn aumentado pago del programa regular de Azure Bug Bounty. losse los escenarios van desde la capacidad a bypass determinadas medidas de seguridad, para ejecutarEn g código en el hardware habilitado núcleo seguro del dispositivo.

Escenarios de investigación específicos del desafío de investigación de Azure Sphere

¿Por qué ATR se involucró con el programa?

Hay varias razones por las que estábamos interesados a participate en esto programa. First, como investigadores de seguridad, la plataforma Azure Sphere es un nuevo objetivo de investigación emocionante que se ha creado desde cero teniendo en cuenta la seguridad.. yot muestra lo que podría suceder con el espacio de IoT en los próximos años como las plataformas heredadas se están eliminando gradualmente. Estar a la vanguardia de lo que se está haciendo en el espacio de IoT garantiza que nuestra investigación permanezcas actual y estamos listo para afrontar futuros nuevos retos. Segundo, por Al encontrar errores críticos en esta nueva plataforma, ayudamos a que sea más segura y ofrecemos nuestro apoyo para hacer que el espacio de IoT cada vez más resistente al ciber amenazas. Finalmente, Como se trata de un programa de recompensas por errores, decidimos desde el principio que donaríamos cualquier premio que recibamos.re a la caridad, utilizando así nuestras habilidades para contribuir al bien social de nuestras comunidades locales y apoyar causas que trascienden el sector tecnológico.

Recomendaciones

Hemos informado de varios errores a Microsoft como un resultado de nuestro investigación ese fueron calificados como importantes o Crítico:

  • Importante: omisión de la función de seguridad ($ 3,300): la inclusión de enlace simbólico en el paquete de la aplicación permite hacer referencia a archivos fuera del punto de montaje del paquete de la aplicación.
  • Crítico – RCE ($ 48,000): La inclusión de un "personaje dispositivo" en un el paquete de aplicación permite para interacción directation con una parte de la memoria flash, lo que eventualmente conduce a la modificación del archivo crítico del sistemas y mayor explotación.
  • Importante: EoP ($ 11,000): Múltiples errores en cómo uid_map los archivos se procesan, permitirbuscando elevación de privilegios para el usuario del sistema.
  • Importante Eop PS11.000): Un usuario con privilegios de sistemas puede engañar al administrador de aplicaciones para que desmonte "azcore”Y montar un binario deshonesto en su lugar. Activando un núcleo El volcado de un proceso en ejecución ejecutará el binario malicioso con todas las capacidades y privilegios de root debido a un manejo inadecuado de los permisos.s en el LSM.
  • Crítico – EoP ($ 48,000): Más problemas en los privilegio dropping de "unzcore" conduce a la omisión completa de la capacidad de Azure Spherey restricciones
  • Crítico – EoP ($ 48,000): debido a una gestión de certificados inadecuada, es posible volver a reclamar un dispositivo en el servidor de preproducción de Azure Sphere y obtener un archivo de capacidad válido que funcione en los entorno de producción. Este archivo de capacidad se puede utilizar para volver a habilitar el modo de desarrollo de aplicaciones en un dispositivo finalizado (reclamado por un tercero). La implementación del archivo de capacidad requiere acceso físico a un dispositivo.

Conclusión

Esta investigación fue un emocionante oportunidad de mirar un nueva plataforma con muy poca investigación previa, sin dejar de estar en el territorio familiar de un dispositivo ARM que ejecuta un Linux endurecido sistema operativo.

A través de los errores que encontramos, pudimos obtener un exploit de cadena completa desde un dispositivo bloqueado para tener acceso de root. Sin embargo, la plataforma Azure Sphere tiene muchas más características de seguridad, como la atestación remota y una hardware habilitado núcleo seguro que todavía se mantiene fuerte.

Finalmente, queremos agradecer a Microsoft la oportunidad de participar en este emocionante programa y los premios Bounty.





Enlace a la noticia original