Pwnie Awards 2021: наиболее существенные уязвимости и провалы в безопасности

Определены победители ежегодной премии Pwnie Awards 2021, выделяющей наиболее значительные уязвимости и абсурдные провалы в области компьютерной безопасности. Pwnie Awards считается аналогом Оскара и Золотой малины в области компьютерной безопасности.

Основные победители (список претендентов):

• Лучшая уязвимость, приводящая к повышению привилегий. Победа присуждена компании Qualys за выявление уязвимости CVE-2021-3156 в утилите sudo, позволяющей получить привилегии root. Уязвимость присутствовала в коде около 10 лет и примечательна тем, что для её выявления потребовался тщательный разбор логики работы утилиты.
• Лучшая серверная ошибка. Присуждается за выявление и эксплуатацию наиболее технически сложной и интересной ошибки в сетевом сервисе. Победа присуждена за выявление нового вектора атак на Microsoft Exchange. Информация не обо всех уязвимостях данного класса опубликована, но уже раскрыты сведения об уязвимости CVE-2021-26855 (ProxyLogon), позволяющей извлечь данные произвольного пользователя без аутентификации, и CVE-2021-27065, дающей возможность выполнить свой код на сервере с правами администратора.
• Лучшая криптографическая атака. Присуждается за выявление наиболее значимых брешей в реальных системах, протоколах и алгоритмах шифрования. Премия присуждена компании Microsoft за уязвимость (CVE-2020-0601) в реализации цифровых подписей на основе эллиптических кривых, позволяющую сгенерировать закрытые ключи на основе открытых ключей. Проблема позволяла создать поддельные TLS-сертификаты для HTTPS и фиктивные цифровые подписи, которые верифицировались в Windows как заслуживающие доверия.
• Наиболее инновационное исследование. Премия присуждена исследователям, предложившим метод BlindSide для обхода защиты на основе рандомизации адресов (ASLR) при помощи утечек по сторонним каналам, возникающим в результате спекулятивного выполнения инструкций процессором.
• Самый большой провал (Most Epic FAIL). Премия присуждена компании Microsoft за многократно выпущенное неработающее исправление уязвимости PrintNightmare (CVE-2021-34527) в системе вывода на печать Windows, позволяющей выполнить свой код. Вначале компания Microsoft пометила проблему как локальную, но затем выяснилось, что атака может быть совершена удалённо. Затем Microsoft четыре раза публиковала обновления, но каждый раз исправление закрывало лишь частный случай и исследователи находили новый способ совершения атаки.
• Лучшая ошибка в клиентском ПО. Победил исследователь, выявивший уязвимость CVE-2020-28341 в безопасных криптопроцессорах Samsung, получивших сертификат защищённости CC EAL 5+. Уязвимость позволяла полностью обойти защиту и получить доступ к выполняемому на чипе коду и хранимым в анклаве данным, обойти блокировку хранителя экрана, а также внести изменения в прошивку для создания скрытого бэкдора.
• Hаиболее недооценённая уязвимость. Премия присуждена компании Qualys за выявление серии уязвимостей 21Nails в почтовом сервере Exim, 10 из которых могут быть эксплуатированы удалённо. Разработчики Exim скептически восприняли возможность эксплуатации проблем и потратили более 6 месяцев на разработку исправлений.
• Самая ламерская реакция производителя (Lamest Vendor Response). Номинация за самую неадекватную реакцию на сообщение об уязвимости в собственном продукте. Победителем признана компания Cellebrite, занимающейся созданием приложений для криминалистичкского анализа и извлечения данных правоохранительными органами. Cellebrite неадекватно отреагировала на сообщение об уязвимостях, отправленное Мокси Марлинспайком (Moxie Marlinspike), автором протокола Signal. Мокси заинтересовался Cellebrite после публикации в СМИ заметки о создании технологии, позволяющей взламывать зашифрованные сообщения Signal, впоследствии оказавшейся фейком из-за неверной интерпретации информации в статье на сайте Cellebrite, которая затем была убрана («атака» требовала физического доступа к телефону и возможности снятия блокировки экрана, т.е. сводилась просмотру сообщений в мессенджере, но не вручную, а с использованием специального приложения, симулирующего действия пользователя).

  Мокси изучил приложения Cellebrite и нашёл там критические уязвимости, которые позволяли организовать выполнение произвольного кода при попытке сканирования специально оформленных данных. В приложении Cellebrite также был выявлен факт использования устаревшей библиотеки ffmpeg, не обновлявшейся 9 лет и содержащей большое число неисправленных уязвимостей. Вместо того, чтобы признать проблемы и заняться исправлением проблем компания Cellebrite опубликовала заявление, что заботится о целостности данных пользователей, поддерживает безопасность своих продуктов на должном уровне, регулярно выпускает обновления и поставляет лучшие приложения в своём роде.

• Самое большое достижение. Премия присуждена Ильфаку Гильфанову, автору дизассемблера IDA и декомпилятора Hex-Rays, за вклад в разработку инструментов для исследователей безопасности и способность поддерживать актуальный продукт на протяжении 30 лет.

Источник: opennet.ru