Određeni su pobjednici godišnjih nagrada Pwnie Awards 2021, koji ističu najznačajnije ranjivosti i apsurdne propuste u oblasti kompjuterske sigurnosti. Nagrade Pwnie smatraju se ekvivalentom Oskara i Zlatne maline u kompjuterskoj sigurnosti.
Glavni pobjednici (spisak kandidata):
- Bolja ranjivost eskalacije privilegija. Pobjeda je dodijeljena Qualysu za identifikaciju ranjivosti CVE-2021-3156 u sudo uslužnom programu, koji omogućava dobivanje root privilegija. Ranjivost je prisutna u kodu oko 10 godina i značajna je po tome što je bila potrebna detaljna analiza logike uslužnog programa da bi se identifikovala.
- Najbolji serverski bug. Dodjeljuje se za identifikaciju i iskorištavanje tehnički najsloženije i najzanimljivije greške u mrežnoj usluzi. Pobjeda je dodijeljena za identifikaciju novog vektora napada na Microsoft Exchange. Informacije o svim ranjivostima ove klase nisu objavljene, ali su već objavljene informacije o ranjivosti CVE-2021-26855 (ProxyLogon), koja omogućava izdvajanje podataka od proizvoljnog korisnika bez autentifikacije, i CVE-2021-27065, koja čini moguće je izvršiti vaš kod na serveru sa administratorskim pravima.
- Najbolji kriptografski napad. Dodjeljuje se za identifikaciju najznačajnijih nedostataka u stvarnim sistemima, protokolima i algoritmima za šifriranje. Nagrada je dodijeljena Microsoftu za ranjivost (CVE-2020-0601) u implementaciji digitalnih potpisa eliptičke krivulje koji mogu generirati privatne ključeve iz javnih ključeva. Problem je omogućio kreiranje lažnih TLS sertifikata za HTTPS i fiktivnih digitalnih potpisa, koji su u Windowsu verifikovani kao pouzdani.
- Najinovativnije istraživanje. Nagrada je dodijeljena istraživačima koji su predložili BlindSide metod za zaobilaženje zaštite zasnovane na randomizaciji adresa (ASLR) korištenjem curenja bočnih kanala koja su rezultat spekulativnog izvršavanja instrukcija od strane procesora.
- Najveći neuspjeh (Most Epic FAIL). Nagrada je dodeljena Microsoftu za višestruko izdanje pokvarenog popravka za ranjivost PrintNightmare (CVE-2021-34527) u Windows sistemu za štampanje koja vam omogućava da izvršite svoj kod. Microsoft je isprva označio problem kao lokalni, ali se potom ispostavilo da se napad može izvesti na daljinu. Zatim je Microsoft četiri puta objavio ažuriranja, ali svaki put je popravak zatvorio samo poseban slučaj, a istraživači su pronašli novi način za izvođenje napada.
- Najbolja greška u klijentskom softveru. Pobjednik je bio istraživač koji je identificirao ranjivost CVE-2020-28341 u sigurnim Samsung kripto procesorima koji su dobili sigurnosni certifikat CC EAL 5+. Ranjivost je omogućila da se u potpunosti zaobiđe zaštita i dobije pristup kodu koji se izvršava na čipu i podacima pohranjenim u enklavi, zaobiđe zaključavanje čuvara zaslona, a također se izvrši promjena firmvera kako bi se stvorila skrivena pozadinska vrata.
- Najviše potcijenjena ranjivost. Nagrada je dodeljena Qualysu za identifikaciju niza 21Nails ranjivosti na Exim serveru pošte, od kojih se 10 može iskoristiti na daljinu. Exim programeri su bili skeptični u pogledu mogućnosti iskorišćavanja problema i proveli su više od 6 meseci razvijajući popravke.
- Najslabija reakcija proizvođača (Lamest Vendor Response). Nominacija za najneprikladniji odgovor na prijavu ranjivosti u vlastitom proizvodu. Pobjednik je Cellebrite, kompanija koja gradi aplikacije za forenzičku analizu i rudarenje podataka za provođenje zakona. Cellebrite je neprikladno odgovorio na izvještaj o ranjivosti koji je objavio Moxie Marlinspike, autor protokola Signal. Moxxi se zainteresovao za Cellebrite nakon medijskog članka o stvaranju tehnologije koja omogućava hakovanje šifrovanih signalnih poruka, za koje se kasnije pokazalo da su lažne zbog pogrešnog tumačenja informacija u članku na web stranici Cellebrite, koji je potom uklonjen (“ napad” je zahtijevao fizički pristup telefonu i mogućnost otključavanja ekrana, odnosno sveden na pregled poruka u messengeru, ali ne ručno, već pomoću posebne aplikacije koja simulira radnje korisnika).
Moxxi je proučavao Cellebrite aplikacije i tamo pronašao kritične ranjivosti koje su omogućavale izvršavanje proizvoljnog koda prilikom pokušaja skeniranja posebno dizajniranih podataka. Također je utvrđeno da aplikacija Cellebrite koristi zastarjelu ffmpeg biblioteku koja nije ažurirana 9 godina i sadrži veliki broj nezakrpljenih ranjivosti. Umjesto da prizna probleme i otklanja probleme, Cellebrite je izdao izjavu da brine o integritetu korisničkih podataka, održava sigurnost svojih proizvoda na odgovarajućem nivou, objavljuje redovna ažuriranja i isporučuje najbolje aplikacije te vrste.
- Najveće dostignuće. Nagrada je dodijeljena Ilfaku Gilfanovu, autoru IDA disassemblera i Hex-Rays dekompajlera, za njegov doprinos razvoju alata za istraživače sigurnosti i njegovu sposobnost da održi proizvod ažurnim 30 godina.
izvor: opennet.ru