I vincitori di i premi annuali Pwnie 2021 sò stati determinati, mettendu in risaltu e vulnerabilità più significative è fallimenti assurdi in u campu di a sicurità di l'informatica. I Pwnie Awards sò cunsiderate l'equivalenti di l'Oscars è u Golden Raspberry in a sicurità di l'informatica.
Principali vincitori (lista di i candidati):
- Vulnerabilità di escalazione di privilegi megliu. A vittoria hè stata attribuita à Qualys per identificà a vulnerabilità CVE-2021-3156 in l'utilità sudo, chì permette di ottene privilegi di root. A vulnerabilità hè stata prisente in u codice per circa 10 anni è hè notu per u fattu chì un analisi approfonditu di a logica di l'utilità era necessariu per identificà.
- U megliu bug di u servitore. Premiatu per identificà è sfruttà u bug più tecnicumente cumplessu è interessante in un serviziu di rete. A vittoria hè stata premiata per identificà un novu vettore di attacchi à Microsoft Exchange. L'infurmazione nantu à micca tutte e vulnerabilità di sta classa hè stata publicata, ma l'infurmazioni sò digià divulgate nantu à a vulnerabilità CVE-2021-26855 (ProxyLogon), chì permette di estrazione di dati da un utilizatore arbitrariu senza autentificazione, è CVE-2021-27065, chì face hè pussibule eseguisce u vostru codice in un servitore cù diritti di amministratore.
- U megliu attaccu criptograficu. Premiatu per identificà i difetti più significativi in sistemi reali, protokolli è algoritmi di criptografia. U premiu hè statu datu à Microsoft per una vulnerabilità (CVE-2020-0601) in l'implementazione di firme digitali di curva ellittica chì puderanu generà chjavi privati da chjavi publichi. U prublema hà permessu a creazione di certificati TLS falsi per HTTPS è firme digitali fittizie, chì sò stati verificati in Windows cum'è affidabili.
- A ricerca più innovativa. U premiu hè statu datu à i circadori chì anu prupostu u metudu BlindSide per sguassate a prutezzione di l'indirizzu randomization-based (ASLR) usendu fughe di canali laterali risultanti da l'esekzione speculativa di l'istruzzioni da u processatore.
- U più grande fallimentu (Most Epic FAIL). U premiu hè statu datu à Microsoft per a correzione rotta di più rilasci per a vulnerabilità PrintNightmare (CVE-2021-34527) in u sistema di stampa Windows chì vi permette di eseguisce u vostru codice. À u principiu, Microsoft hà signalatu u prublema cum'è lucale, ma dopu hè statu chì l'attaccu puderia esse realizatu remotamente. Allora Microsoft hà publicatu l'aghjurnamenti quattru volte, ma ogni volta chì a correzione hà chjusu solu un casu speciale, è i circadori anu truvatu un novu modu per fà l'attaccu.
- U megliu bug in u software cliente. U vincitore hè statu u ricercatore chì hà identificatu a vulnerabilità CVE-2020-28341 in i processori criptografici Samsung sicuri chì anu ricevutu un certificatu di sicurezza CC EAL 5+. A vulnerabilità hà permessu di scaccià cumplettamente a prutezzione è accede à u codice eseguitu nantu à u chip è i dati almacenati in l'enclave, sguassate u lock screen saver, è ancu fà cambiamenti à u firmware per creà una backdoor oculta.
- A vulnerabilità più sottovalutata. U premiu hè statu datu à Qualys per identificà una seria di vulnerabilità 21Nails in u servitore di mail Exim, 10 di quale puderia esse sfruttatu remotamente. I sviluppatori Exim eranu scettichi nantu à a pussibilità di sfruttà i prublemi è anu passatu più di 6 mesi à sviluppà correzioni.
- A reazione più lamer di u fabricatore (Lamest Vendor Response). Nominazione per a risposta più inappropriata à un rapportu di vulnerabilità in u so propiu pruduttu. U vincitore era Cellebrite, una sucietà chì crea analisi forensica è applicazioni di data mining per l'infurzazioni di a lege. Cellebrite hà rispostu inappropriatamente à un rapportu di vulnerabilità publicatu da Moxie Marlinspike, autore di u protocolu Signal. Moxxi s'interessa à Cellebrite dopu à un articulu di media nantu à a creazione di una tecnulugia chì permette di pirate i missaghji di signali criptati, chì più tardi hè diventatu un falsu per via di una misinterpretazione di l'infurmazioni in un articulu nantu à u situ web di Cellebrite, chì hè stata tandu eliminata (" l'attaccu" hà bisognu di l'accessu fisicu à u telefunu è a capacità di sbloccare u screnu, vale à dì ridutta à vede i missaghji in u messenger, ma micca manualmente, ma cù una applicazione speciale chì simula l'azzioni di l'utilizatori).
Moxxi hà studiatu l'applicazioni Cellebrite è hà trovu vulnerabili critichi chì permettenu l'esecuzione di codice arbitrariu quandu prova à scansà dati apposta. L'applicazione Cellebrite hè stata ancu trovata chì utilizeghja una biblioteca ffmpeg obsoleta chì ùn hè micca stata aghjurnata per 9 anni è cuntene un gran numaru di vulnerabili senza parche. Invece di ricunnosce i prublemi è di risolve i prublemi, Cellebrite hà publicatu una dichjarazione chì si preoccupa di l'integrità di e dati di l'utilizatori, mantene a sicurità di i so prudutti à u livellu propiu, libera l'aghjurnamenti regulare è furnisce e migliori applicazioni di u so tipu.
- U più grande successu. U premiu hè statu datu à Ilfak Gilfanov, autore di u disassembler IDA è u decompiler Hex-Rays, per a so cuntribuzione à u sviluppu di l'arnesi per i ricercatori di sicurezza è a so capacità di mantene u pruduttu aghjurnatu per 30 anni.
Source: opennet.ru