Награди Pwnie 2021: Най-значимите уязвимости и пропуски в сигурността

Определени са победителите в годишните награди Pwnie Awards 2021, които подчертават най-значимите уязвимости и абсурдни провали в областта на компютърната сигурност. Наградите Pwnie се считат за еквивалент на Оскарите и Златната малинка в компютърната сигурност.

Основни победители (списък на претендентите):

• По-добра уязвимост при ескалация на привилегии. Победата беше присъдена на Qualys за идентифициране на уязвимостта CVE-2021-3156 в помощната програма sudo, която позволява получаване на root права. Уязвимостта присъства в кода от около 10 години и е забележителна с факта, че е необходим задълбочен анализ на логиката на помощната програма, за да бъде идентифицирана.
• Най-добрата сървърна грешка. Награждава се за идентифициране и използване на най-технически сложния и интересен бъг в мрежова услуга. Победата беше присъдена за идентифициране на нов вектор на атаки срещу Microsoft Exchange. Информация за не всички уязвимости от този клас е публикувана, но вече е разкрита информация за уязвимостта CVE-2021-26855 (ProxyLogon), която позволява извличане на данни от произволен потребител без удостоверяване, и CVE-2021-27065, която прави възможно е да изпълните вашия код на сървър с администраторски права.
• Най-добрата криптографска атака. Награждава се за идентифициране на най-значимите пропуски в реални системи, протоколи и алгоритми за криптиране. Наградата беше присъдена на Microsoft за уязвимост (CVE-2020-0601) при прилагането на цифрови подписи с елиптична крива, които могат да генерират частни ключове от публични ключове. Проблемът позволи създаването на фалшиви TLS сертификати за HTTPS и фиктивни цифрови подписи, които бяха проверени в Windows като надеждни.
• Най-иновативни изследвания. Наградата беше присъдена на изследователи, които предложиха метода BlindSide за заобикаляне на защитата, базирана на рандомизиране на адреси (ASLR), чрез използване на течове в странични канали в резултат на спекулативно изпълнение на инструкции от процесора.
• Най-големият провал (Most Epic FAIL). Наградата беше присъдена на Microsoft за неработещата корекция на няколко издания за уязвимостта на PrintNightmare (CVE-2021-34527) в системата за печат на Windows, която ви позволява да изпълните своя код. Първоначално Microsoft маркира проблема като локален, но след това се оказа, че атаката може да бъде извършена от разстояние. Тогава Microsoft публикува актуализации четири пъти, но всеки път корекцията затвори само специален случай и изследователите намериха нов начин за извършване на атаката.
• Най-добрият бъг в клиентския софтуер. Победител беше изследователят, който идентифицира уязвимостта CVE-2020-28341 в защитени крипто процесори на Samsung, които получиха сертификат за сигурност CC EAL 5+. Уязвимостта направи възможно пълното заобикаляне на защитата и получаване на достъп до кода, изпълнен на чипа, и данните, съхранявани в анклава, заобикаляне на заключването на скрийнсейвъра и също така извършване на промени във фърмуера, за да се създаде скрита задна врата.
• Най-подценяваната уязвимост. Наградата беше присъдена на Qualys за идентифициране на серия от уязвимости на 21Nails в пощенския сървър Exim, 10 от които могат да бъдат експлоатирани дистанционно. Разработчиците на Exim бяха скептични относно възможността за използване на проблемите и прекараха повече от 6 месеца в разработването на корекции.
• Най-ламерната реакция на производителя (Lamest Vendor Response). Номинация за най-неподходящ отговор на доклад за уязвимост в собствен продукт. Победителят беше Cellebrite, компания, която създава приложения за съдебни анализи и извличане на данни за правоприлагащите органи. Cellebrite отговори неподходящо на доклад за уязвимост, публикуван от Moxie Marlinspike, автор на протокола Signal. Moxxi се заинтересува от Cellebrite след медийна статия за създаването на технология, която позволява хакване на криптирани съобщения Signal, която по-късно се оказа фалшива поради погрешно тълкуване на информация в статия на уебсайта на Cellebrite, която след това беше премахната (“ атаката“ изискваше физически достъп до телефона и възможност за отключване на екрана, т.е. сведено до преглед на съобщения в месинджъра, но не ръчно, а чрез специално приложение, което симулира действия на потребителя).

  Moxxi проучи приложенията на Cellebrite и откри там критични уязвимости, които позволяваха произволен код да бъде изпълнен при опит за сканиране на специално проектирани данни. Установено е също, че приложението Cellebrite използва остаряла библиотека ffmpeg, която не е актуализирана от 9 години и съдържа голям брой непоправени уязвимости. Вместо да признае проблемите и да ги коригира, Cellebrite издаде изявление, че се грижи за целостта на потребителските данни, поддържа сигурността на своите продукти на правилното ниво, пуска редовни актуализации и доставя най-добрите приложения от този вид.

• Най-голямото постижение. Наградата беше присъдена на Илфак Гилфанов, автор на дизасемблера IDA и декомпилатора Hex-Rays, за приноса му в разработването на инструменти за изследователи на сигурността и способността му да поддържа продукта актуален в продължение на 30 години.

Източник: opennet.ru