S'han anunciat els guanyadors dels premis anuals Pwnie 2021, destacant les vulnerabilitats més importants i les fallades absurdes en seguretat informàtica. Els Pwnie Awards es consideren l'equivalent dels Oscars i Golden Raspberries en l'àmbit de la seguretat informàtica.
Principals guanyadors (llista de concursants):
- Millor vulnerabilitat que condueix a l'escalada de privilegis. La victòria es va atorgar a Qualys per identificar la vulnerabilitat CVE-2021-3156 a la utilitat sudo, que us permet obtenir privilegis de root. La vulnerabilitat va estar present al codi durant uns 10 anys i cal destacar que identificar-la va requerir una anàlisi exhaustiva de la lògica de la utilitat.
- Millor error del servidor. Atorgat per identificar i explotar l'error més complex i interessant tècnicament en un servei de xarxa. La victòria es va atorgar per identificar un nou vector d'atacs a Microsoft Exchange. No s'ha publicat informació sobre totes les vulnerabilitats d'aquesta classe, però ja s'ha revelat informació sobre la vulnerabilitat CVE-2021-26855 (ProxyLogon), que permet extreure les dades d'un usuari arbitrari sense autenticació, i CVE-2021-27065. , que permet executar el vostre codi en un servidor amb drets d'administrador.
- El millor atac criptogràfic. Atorgat per identificar els buits més significatius en sistemes reals, protocols i algorismes de xifratge. El guardó va ser atorgat a Microsoft per una vulnerabilitat (CVE-2020-0601) en la implementació de signatures digitals basades en corbes el·líptiques, que permet generar claus privades a partir de claus públiques. El problema va permetre la creació de certificats TLS falsos per a HTTPS i signatures digitals fictives que Windows va verificar com a fiables.
- La investigació més innovadora mai. El premi es va atorgar als investigadors que van proposar el mètode BlindSide per evitar la protecció de l'aleatorització basada en adreces (ASLR) mitjançant filtracions de canals laterals resultants de l'execució especulativa d'instruccions del processador.
- El fracàs més gran (FALL més èpic). El premi es va atorgar a Microsoft per haver llançat repetidament una solució trencada per a la vulnerabilitat PrintNightmare (CVE-2021-34527) al sistema d'impressió de Windows que va permetre l'execució de codi. Microsoft inicialment va marcar el problema com a local, però després va resultar que l'atac es podia dur a terme de forma remota. Aleshores, Microsoft va publicar actualitzacions quatre vegades, però cada vegada la solució només va tancar un cas especial i els investigadors van trobar una nova manera de dur a terme l'atac.
- El millor error del programari client. El guanyador va ser l'investigador que va identificar la vulnerabilitat CVE-2020-28341 en els criptoprocessadors segurs de Samsung, que van rebre un certificat de seguretat CC EAL 5+. La vulnerabilitat va permetre evitar completament la seguretat i accedir al codi que s'executava al xip i les dades emmagatzemades a l'enclavament, evitar el bloqueig de l'estalvi de pantalla i també fer canvis al microprogramari per crear una porta posterior oculta.
- La vulnerabilitat més subestimada. El premi va ser atorgat a Qualys per identificar una sèrie de vulnerabilitats de 21Nails al servidor de correu Exim, 10 de les quals es poden explotar de forma remota. Els desenvolupadors d'Exim es van mostrar escèptics que els problemes es poguessin explotar i van passar més de 6 mesos desenvolupant solucions.
- Resposta del venedor més coix. Nominació per a la resposta més inadequada a un missatge sobre una vulnerabilitat en el vostre propi producte. El guanyador va ser Cellebrite, una empresa que crea aplicacions per a l'anàlisi forense i l'extracció de dades per part de les forces de l'ordre. Cellebrite no va respondre adequadament a un informe de vulnerabilitat enviat per Moxie Marlinspike, l'autor del protocol Signal. Moxey es va interessar per Cellebrite després de la publicació als mitjans d'una nota sobre la creació d'una tecnologia que permet piratejar missatges de senyal xifrats, que després va resultar ser una falsificació a causa de la mala interpretació de la informació en un article al lloc web de Cellebrite, que va ser després es va eliminar ("l'atac" requeria l'accés físic al telèfon i la possibilitat d'eliminar la pantalla de bloqueig, és a dir, es va reduir a visualitzar missatges al messenger, però no manualment, sinó mitjançant una aplicació especial que simula les accions de l'usuari).
Moxey va estudiar les aplicacions de Cellebrite i hi va trobar vulnerabilitats crítiques que van permetre executar codi arbitrari quan s'intentava escanejar dades especialment dissenyades. També es va trobar que l'aplicació Cellebrite utilitzava una biblioteca ffmpeg obsoleta que no s'havia actualitzat durant 9 anys i que contenia un gran nombre de vulnerabilitats sense pegats. En lloc d'admetre els problemes i solucionar els problemes, Cellebrite va emetre una declaració que es preocupa per la integritat de les dades dels usuaris, manté la seguretat dels seus productes al nivell adequat, publica actualitzacions periòdicament i ofereix les millors aplicacions d'aquest tipus.
- El major assoliment. El premi va ser atorgat a Ilfak Gilfanov, autor del desensamblador IDA i del descompilador Hex-Rays, per les seves contribucions al desenvolupament d'eines per a investigadors de seguretat i la seva capacitat per mantenir un producte actualitzat durant 30 anys.
Font: opennet.ru