Die wenners van die jaarlikse Pwnie-toekennings 2021 is bepaal, wat die belangrikste kwesbaarhede en absurde mislukkings op die gebied van rekenaarsekuriteit beklemtoon. Die Pwnie-toekennings word as die ekwivalent van die Oscars en die Goue Framboos in rekenaarsekuriteit beskou.
Hoofwenners (lys van aanspraakmakers):
- Beter voorreg-eskalasie kwesbaarheid. Die oorwinning is aan Qualys toegeken vir die identifisering van die kwesbaarheid CVE-2021-3156 in die sudo-hulpprogram, wat dit moontlik maak om wortelvoorregte te verkry. Die kwesbaarheid kom al vir ongeveer 10 jaar in die kode voor en is opmerklik vir die feit dat 'n deeglike ontleding van die logika van die nutsprogram nodig was om dit te identifiseer.
- Beste bedienerfout. Toegeken vir die identifisering en ontginning van die mees tegnies komplekse en interessante fout in 'n netwerkdiens. Die oorwinning is toegeken vir die identifisering van 'n nuwe vektor van aanvalle op Microsoft Exchange. Inligting oor nie alle kwesbaarhede van hierdie klas is gepubliseer nie, maar inligting is reeds bekend gemaak oor die kwesbaarheid CVE-2021-26855 (ProxyLogon), wat dit moontlik maak om data van 'n arbitrêre gebruiker sonder stawing te onttrek, en CVE-2021-27065, wat maak dit moontlik om jou kode uit te voer op 'n bediener met administrateur regte.
- Die beste kriptografiese aanval. Toegeken vir die identifisering van die belangrikste foute in werklike stelsels, protokolle en enkripsie-algoritmes. Die toekenning is aan Microsoft gegee vir 'n kwesbaarheid (CVE-2020-0601) in die implementering van elliptiese kurwe digitale handtekeninge wat private sleutels van publieke sleutels kan genereer. Die probleem het die skepping van vals TLS-sertifikate vir HTTPS en fiktiewe digitale handtekeninge moontlik gemaak, wat in Windows as betroubaar geverifieer is.
- Mees innoverende navorsing. Die toekenning is gegee aan navorsers wat die BlindSide-metode voorgestel het om Address Randomization Based Leverage (ASLR) beskerming te omseil deur sykanaallekkasies te gebruik wat voortspruit uit spekulatiewe uitvoering van instruksies deur die verwerker.
- Die grootste mislukking (Most Epic FAIL). Die toekenning is aan Microsoft gegee vir die gebroke oplossing vir meervoudige vrystellings vir die PrintNightmare (CVE-2021-34527) kwesbaarheid in die Windows-drukstelsel wat jou toelaat om jou kode uit te voer. Aanvanklik het Microsoft die probleem as plaaslik gemerk, maar toe blyk dit dat die aanval op afstand uitgevoer kan word. Toe het Microsoft vier keer opdaterings gepubliseer, maar elke keer het die oplossing slegs 'n spesiale geval gesluit, en die navorsers het 'n nuwe manier gevind om die aanval uit te voer.
- Beste fout in kliëntsagteware. Die wenner was die navorser wat die CVE-2020-28341 kwesbaarheid geïdentifiseer het in veilige Samsung kripto verwerkers wat 'n CC EAL 5+ sekuriteitsertifikaat ontvang het. Die kwesbaarheid het dit moontlik gemaak om die beskerming heeltemal te omseil en toegang te verkry tot die kode wat op die skyfie uitgevoer is en data wat in die enklawe gestoor is, die skermbewaarder-slot te omseil, en ook veranderinge aan die firmware aan te bring om 'n versteekte agterdeur te skep.
- Die mees onderskatte kwesbaarheid. Die toekenning is aan Qualys gegee vir die identifisering van 'n reeks 21Nails-kwesbaarhede in die Exim-posbediener, waarvan 10 op afstand uitgebuit kan word. Die Exim-ontwikkelaars was skepties oor die moontlikheid om die probleme te ontgin en het meer as 6 maande daaraan bestee om regstellings te ontwikkel.
- Die laerste reaksie van die vervaardiger (Lamest Vendor Response). Benoeming vir die mees onvanpaste reaksie op 'n kwesbaarheidsverslag in 'n mens se eie produk. Die wenner was Cellebrite, ’n maatskappy wat forensiese ontledings- en data-ontginningstoepassings vir wetstoepassing bou. Cellebrite het onvanpas gereageer op 'n kwesbaarheidsverslag wat deur Moxie Marlinspike, skrywer van die Signal-protokol, geplaas is. Moxxi het in Cellebrite begin belangstel ná 'n media-artikel oor die skepping van 'n tegnologie wat die inbraak van geënkripteerde seinboodskappe moontlik maak, wat later geblyk het 'n vals te wees weens 'n verkeerde interpretasie van inligting in 'n artikel op die Cellebrite-webwerf, wat toe verwyder is (“ die aanval” het fisiese toegang tot die foon vereis en die vermoë om skerm te ontsluit, dit wil sê verminder tot die kyk van boodskappe in die boodskapper, maar nie met die hand nie, maar met behulp van 'n spesiale toepassing wat gebruikersaksies simuleer).
Moxxi het Cellebrite-toepassings bestudeer en kritieke kwesbaarhede daar gevind wat toegelaat het dat arbitrêre kode uitgevoer word wanneer spesiaal ontwerpte data probeer skandeer word. Daar is ook gevind dat die Cellebrite-toepassing 'n verouderde ffmpeg-biblioteek gebruik wat vir 9 jaar nie opgedateer is nie en 'n groot aantal onverwerkte kwesbaarhede bevat. Pleks daarvan om die probleme te erken en die probleme reg te stel, het Cellebrite 'n verklaring uitgereik dat hy omgee vir die integriteit van gebruikersdata, die sekuriteit van sy produkte op die regte vlak handhaaf, gereelde opdaterings vrystel en die beste toepassings van sy soort lewer.
- Die grootste prestasie. Die toekenning is gegee aan Ilfak Gilfanov, skrywer van die IDA disassembler en Hex-Rays decompiler, vir sy bydrae tot die ontwikkeling van gereedskap vir sekuriteitsnavorsers en sy vermoë om die produk vir 30 jaar op datum te hou.
Bron: opennet.ru