Вызначаны пераможцы штогадовай прэміі Pwnie Awards 2021, якая вылучае найболей значныя ўразлівасці і абсурдныя правалы ў вобласці кампутарнай бяспекі. Pwnie Awards лічыцца аналагам Оскара і Залатой маліны ў вобласці кампутарнай бяспекі.
Асноўныя пераможцы (спіс прэтэндэнтаў):
- Лепшая ўразлівасць, якая прыводзіць да павышэння прывілеяў. Перамога прысуджана кампаніі Qualys за выяўленне ўразлівасці CVE-2021-3156 ва ўтыліце sudo, якая дазваляе атрымаць прывілеі root. Уразлівасць прысутнічала ў кодзе каля 10 гадоў і характэрная тым, што для яе выяўлення запатрабаваўся дбайны разбор логікі працы ўтыліты.
- Лепшая серверная памылка. Прысуджаецца за выяўленне і эксплуатацыю найболей тэхнічна складанай і цікавай памылкі ў сеткавым сэрвісе. Перамога прысуджана за выяўленне новага вектара нападаў на Microsoft Exchange. Інфармацыя не пра ўсе ўразлівасці дадзенага класа апублікаваная, але ўжо расчыненыя звесткі аб уразлівасці CVE-2021-26855 (ProxyLogon), якая дазваляе атрымаць дадзеныя адвольнага карыстача без аўтэнтыфікацыі, і CVE-2021-27065, якая дае магчымасць выканаць свой код на серверы з правамі.
- Лепшая крыптаграфічная атака. Прысуджаецца за выяўленне найболей значных праломаў у рэальных сістэмах, пратаколах і алгарытмах шыфравання. Прэмія прысуджана кампаніі Microsoft за ўразлівасць (CVE-2020-0601) у рэалізацыі лічбавых подпісаў на аснове эліптычных крывых, якая дазваляе згенераваць зачыненыя ключы на аснове адкрытых ключоў. Праблема дазваляла стварыць падробленыя TLS-сертыфікаты для HTTPS і фіктыўныя лічбавыя подпісы, якія верыфікаваліся ў Windows як годныя даверу.
- Найбольш інавацыйнае даследаванне. Прэмія прысуджана даследнікам, якія прапанавалі метад BlindSide для абыходу абароны на аснове рандомизации адрасоў (ASLR) пры дапамозе ўцечак па іншых каналах, якія ўзнікаюць у выніку спекулятыўнага выканання інструкцый працэсарам.
- Самы вялікі правал (Most Epic FAIL). Прэмія прысуджана кампаніі Microsoft за шматкроць выпушчанае непрацуючае выпраўленне ўразлівасці PrintNightmare (CVE-2021-34527) у сістэме высновы на друк Windows, якая дазваляе выканаць свой код. Спачатку кампанія Microsoft пазначыла праблему як лакальную, але затым высветлілася, што напад можа быць здзейснена выдалена. Затым Microsoft чатыры разы публікавала абнаўленні, але кожны раз выпраўленне зачыняла толькі прыватны выпадак і даследнікі знаходзілі новы спосаб здзяйснення нападу.
- Лепшая памылка ў кліенцкім ПЗ. Перамог даследчык, які выявіў уразлівасць CVE-2020-28341 у бяспечных крыптапрацэсарах Samsung, якія атрымалі сертыфікат абароненасці CC EAL 5+. Уразлівасць дазваляла цалкам абыйсці абарону і атрымаць доступ да выкананага на чыпе коду і захоўваемым у анклаве дадзеных, абыйсці блакаванне захавальніка экрана, а таксама занесці змены ў прашыўку для стварэння ўтоенага бэкдора.
- Найбольш недаацэненая ўразлівасць. Прэмія прысуджана кампаніі Qualys за выяўленне серыі ўразлівасцяў 21Nails у паштовым серверы Exim, 10 з якіх могуць быць эксплуатаваны выдалена. Распрацоўнікі Exim скептычна ўспрынялі магчымасць эксплуатацыі праблем і выдаткавалі больш за 6 месяцаў на распрацоўку выпраўленняў.
- Самая ламерская рэакцыя вытворцы (Lamest Vendor Response). Намінацыя за самую неадэкватную рэакцыю на паведамленне аб уразлівасці ва ўласным прадукце. Пераможцам прызнана кампанія Cellebrite, якая займаецца стварэннем прыкладанняў для крыміналістычнага аналізу і вымання дадзеных праваахоўнымі органамі. Cellebrite неадэкватна адрэагавала на паведамленне аб уразлівасцях, адпраўленае Моксы Марлінспайкам (Moxie Marlinspike), аўтарам пратакола Signal. Моксы зацікавіўся Cellebrite пасля публікацыі ў СМІ нататкі аб стварэнні тэхналогіі, якая дазваляе ўзломваць зашыфраваныя паведамленні Signal, пасля якая апынулася фэйкам з-за няслушнай інтэрпрэтацыі інфармацыі ў артыкуле на сайце Cellebrite, якая затым была прыбраная («атака» патрабавала фізічнага доступу экрана, гэта значыць, зводзілася прагляду паведамленняў у мэсэнджэры, але не ўручную, а з выкарыстаннем спецыяльнага прыкладання, які сімулюе дзеянні карыстальніка).
Моксы вывучыў прыкладанні Cellebrite і знайшоў там крытычныя ўразлівасці, якія дазвалялі арганізаваць выкананне адвольнага кода пры спробе сканавання адмыслова аформленых дадзеных. У дадатку Cellebrite таксама быў выяўлены факт выкарыстання састарэлай бібліятэкі ffmpeg, якая не абнаўлялася 9 гадоў і змяшчае вялікую колькасць невыпраўленых уразлівасцяў. Замест таго, каб прызнаць праблемы і заняцца выпраўленнем праблем кампанія Cellebrite апублікавала заяву, што клапоціцца аб цэласнасці дадзеных карыстальнікаў, падтрымлівае бяспеку сваіх прадуктаў на належным узроўні, рэгулярна выпускае абнаўлення і пастаўляе лепшыя прыкладанні ў сваім родзе.
- Самае вялікае дасягненне. Прэмія прысуджана Ільфаку Гільфанаву, аўтару дызасэмблера IDA і дэкампілятара Hex-Rays, за ўклад у распрацоўку інструментаў для даследчыкаў бяспекі і здольнасць падтрымліваць актуальны прадукт на працягу 30 гадоў.
Крыніца: opennet.ru