تم الإعلان عن الفائزين بجوائز Pwnie السنوية لعام 2021، والتي سلطت الضوء على أهم نقاط الضعف والإخفاقات السخيفة في أمن الكمبيوتر. وتعتبر جوائز Pwnie بمثابة المعادل لجوائز الأوسكار والتوت الذهبي في مجال أمن الكمبيوتر.
الفائزون الرئيسيون (قائمة المتنافسين):
- أفضل ثغرة أمنية تؤدي إلى تصعيد الامتيازات. تم منح النصر لشركة Qualys لتحديد الثغرة الأمنية CVE-2021-3156 في الأداة المساعدة sudo، والتي تتيح لك الحصول على امتيازات الجذر. كانت الثغرة الأمنية موجودة في الكود لمدة 10 سنوات تقريبًا، وهي جديرة بالملاحظة لأن تحديدها يتطلب تحليلًا شاملاً لمنطق الأداة المساعدة.
- أفضل خطأ في الخادم. تُمنح هذه الجائزة لتحديد واستغلال الأخطاء الأكثر تعقيدًا وإثارة للاهتمام من الناحية الفنية في خدمة الشبكة. تم منح النصر لتحديد ناقل جديد للهجمات على Microsoft Exchange. لم يتم نشر معلومات حول جميع الثغرات الأمنية لهذه الفئة، ولكن تم بالفعل الكشف عن معلومات حول الثغرة الأمنية CVE-2021-26855 (ProxyLogon)، والتي تتيح لك استخراج بيانات مستخدم عشوائي دون مصادقة، وCVE-2021-27065 ، مما يجعل من الممكن تنفيذ التعليمات البرمجية الخاصة بك على خادم يتمتع بحقوق المسؤول.
- أفضل هجوم التشفير. مُنحت لتحديد أهم الثغرات في الأنظمة الحقيقية والبروتوكولات وخوارزميات التشفير. مُنحت الجائزة لشركة مايكروسوفت عن الثغرة الأمنية (CVE-2020-0601) في تنفيذ التوقيعات الرقمية المبنية على المنحنيات الإهليلجية، والتي تتيح توليد مفاتيح خاصة بناءً على المفاتيح العامة. سمحت المشكلة بإنشاء شهادات TLS مزيفة لـ HTTPS وتوقيعات رقمية وهمية تم التحقق من جدارتها بالثقة بواسطة Windows.
- البحث الأكثر ابتكارا على الإطلاق. مُنحت الجائزة للباحثين الذين اقترحوا طريقة BlindSide لتجاوز الحماية العشوائية القائمة على العناوين (ASLR) باستخدام تسريبات القناة الجانبية الناتجة عن تنفيذ المعالج التخميني للتعليمات.
- الفشل الأكبر (الفشل الأكثر ملحمية). تم منح الجائزة لشركة Microsoft لإصدارها المتكرر لإصلاح معطل لثغرة PrintNightmare (CVE-2021-34527) في نظام الطباعة Windows الذي سمح بتنفيذ التعليمات البرمجية. في البداية، أشارت مايكروسوفت إلى أن المشكلة محلية، ولكن تبين بعد ذلك أن الهجوم يمكن تنفيذه عن بعد. ثم نشرت مايكروسوفت التحديثات أربع مرات، ولكن في كل مرة أدى الإصلاح إلى إغلاق حالة خاصة فقط، ووجد الباحثون طريقة جديدة لتنفيذ الهجوم.
- أفضل خطأ في برنامج العميل. وكان الفائز هو الباحث الذي حدد الثغرة الأمنية CVE-2020-28341 في معالجات التشفير الآمنة من Samsung، والذي حصل على شهادة الأمان CC EAL 5+. أتاحت الثغرة الأمنية تجاوز الأمان تمامًا والوصول إلى التعليمات البرمجية التي تعمل على الشريحة والبيانات المخزنة في الجيب، وتجاوز قفل شاشة التوقف، وكذلك إجراء تغييرات على البرامج الثابتة لإنشاء باب خلفي مخفي.
- الضعف الأكثر الاستهانة. وقد مُنحت الجائزة لشركة Qualys لتحديدها سلسلة من نقاط الضعف 21Nails في خادم بريد Exim، والتي يمكن استغلال 10 منها عن بعد. كان مطورو Exim متشككين في إمكانية استغلال المشكلات وأمضوا أكثر من 6 أشهر في تطوير الإصلاحات.
- استجابة البائع الأضعف. الترشيح للاستجابة الأكثر ملائمة لرسالة حول وجود ثغرة أمنية في منتجك الخاص. وكانت الشركة الفائزة هي شركة Cellebrite، التي تنشئ تطبيقات لتحليل الطب الشرعي واستخراج البيانات من قبل وكالات إنفاذ القانون. لم تستجب شركة Cellebrite بشكل كافٍ لتقرير الضعف الذي أرسله Moxie Marlinspike، مؤلف بروتوكول Signal. أصبح Moxey مهتمًا بشركة Cellebrite بعد نشر ملاحظة في وسائل الإعلام حول إنشاء تقنية تسمح باختراق رسائل Signal المشفرة، والتي تبين لاحقًا أنها مزيفة بسبب سوء تفسير المعلومات في مقال على موقع Cellebrite، والذي كان ثم تمت إزالتها ("الهجوم" يتطلب الوصول الفعلي إلى الهاتف والقدرة على إزالة شاشة القفل، أي أنه تم اختصاره لعرض الرسائل في برنامج المراسلة، ولكن ليس يدويًا، ولكن باستخدام تطبيق خاص يحاكي إجراءات المستخدم).
درس Moxey تطبيقات Cellebrite ووجد ثغرات أمنية حرجة هناك سمحت بتنفيذ تعليمات برمجية عشوائية عند محاولة مسح البيانات المصممة خصيصًا. كما تبين أيضًا أن تطبيق Cellebrite يستخدم مكتبة ffmpeg قديمة لم يتم تحديثها لمدة 9 سنوات وتحتوي على عدد كبير من الثغرات الأمنية التي لم يتم إصلاحها. بدلاً من الاعتراف بالمشاكل وإصلاحها، أصدرت شركة Cellebrite بيانًا بأنها تهتم بسلامة بيانات المستخدم، وتحافظ على أمان منتجاتها على المستوى المناسب، وتصدر التحديثات بانتظام وتقدم أفضل التطبيقات من نوعها.
- الانجاز الاكبر. مُنحت الجائزة إلى إيلفاك جيلفانوف، مؤلف كتاب فك تشفير IDA وفك تشفير Hex-Rays، لمساهماته في تطوير الأدوات للباحثين الأمنيين وقدرته على الحفاظ على منتج حديث لمدة 30 عامًا.
المصدر: opennet.ru