Byli vyhlášeni vítězové výročních cen Pwnie Awards 2021, kteří upozorňují na nejvýznamnější zranitelnosti a absurdní selhání v počítačové bezpečnosti. Ceny Pwnie jsou v oblasti počítačové bezpečnosti považovány za ekvivalent Oscarů a Zlatých malin.
Hlavní vítězové (seznam soutěžících):
- Nejlepší zranitelnost vedoucí k eskalaci oprávnění. Vítězství bylo uděleno společnosti Qualys za identifikaci zranitelnosti CVE-2021-3156 v nástroji sudo, který vám umožňuje získat oprávnění root. Chyba zabezpečení byla v kódu přítomna asi 10 let a je pozoruhodná tím, že její identifikace vyžadovala důkladnou analýzu logiky nástroje.
- Nejlepší chyba serveru. Uděluje se za identifikaci a využití technicky nejsložitější a nejzajímavější chyby v síťové službě. Vítězství bylo uděleno za identifikaci nového vektoru útoků na Microsoft Exchange. Informace o ne všech zranitelnostech této třídy byly zveřejněny, ale již byly zveřejněny informace o zranitelnosti CVE-2021-26855 (ProxyLogon), která umožňuje extrahovat data libovolného uživatele bez autentizace, a CVE-2021-27065 , což umožňuje spouštět váš kód na serveru s administrátorskými právy.
- Nejlepší kryptografický útok. Uděluje se za identifikaci nejvýznamnějších mezer ve skutečných systémech, protokolech a šifrovacích algoritmech. Ocenění bylo uděleno společnosti Microsoft za zranitelnost (CVE-2020-0601) při implementaci digitálních podpisů založených na eliptických křivkách, která umožňuje generování soukromých klíčů na základě veřejných klíčů. Problém umožnil vytvoření falešných certifikátů TLS pro HTTPS a fiktivních digitálních podpisů, které byly systémem Windows ověřeny jako důvěryhodné.
- Nejinovativnější výzkum všech dob. Cena byla udělena výzkumníkům, kteří navrhli metodu BlindSide k obejití ochrany založené na randomizaci (ASLR) pomocí úniků postranních kanálů vyplývajících ze spekulativního provádění instrukcí procesorem.
- Největší propadák (Most Epic FAIL). Ocenění bylo uděleno společnosti Microsoft za opakované vydávání poškozené opravy zranitelnosti PrintNightmare (CVE-2021-34527) v tiskovém systému Windows, která umožňovala spuštění kódu. Microsoft zpočátku problém označil jako lokální, ale pak se ukázalo, že útok lze provést na dálku. Poté Microsoft čtyřikrát zveřejnil aktualizace, ale pokaždé oprava pouze uzavřela speciální případ a výzkumníci našli nový způsob, jak útok provést.
- Nejlepší chyba v klientském softwaru. Vítězem se stal výzkumník, který identifikoval zranitelnost CVE-2020-28341 v zabezpečených kryptoprocesorech Samsung, které získaly bezpečnostní certifikát CC EAL 5+. Zranitelnost umožnila zcela obejít zabezpečení a získat přístup ke kódu běžícímu na čipu a datům uloženým v enklávě, obejít zámek spořiče obrazovky a také provést změny ve firmwaru pro vytvoření skrytých zadních vrátek.
- Nejvíce podceňovaná zranitelnost. Ocenění bylo uděleno společnosti Qualys za identifikaci série zranitelností 21Nails na poštovním serveru Exim, z nichž 10 lze zneužít vzdáleně. Vývojáři Exim byli skeptičtí, že by se problémy daly zneužít, a strávili více než 6 měsíců vývojem oprav.
- Poslední odezva dodavatele. Nominace za nejnevhodnější odpověď na zprávu o zranitelnosti vašeho vlastního produktu. Vítězem se stala společnost Cellebrite, která vytváří aplikace pro forenzní analýzu a extrakci dat orgány činnými v trestním řízení. Cellebrite adekvátně nereagoval na zprávu o zranitelnosti, kterou zaslal Moxie Marlinspike, autor protokolu Signal. Moxey se o Cellebrite začal zajímat poté, co byla v médiích zveřejněna poznámka o vytvoření technologie, která umožňuje hackování zašifrovaných zpráv Signal, které se později ukázaly jako falešné kvůli špatné interpretaci informací v článku na webu Cellebrite, který byl následně odstraněn („útok“ vyžadoval fyzický přístup k telefonu a možnost odstranit zamykací obrazovku, čili se omezil na prohlížení zpráv v messengeru, ale ne ručně, ale pomocí speciální aplikace, která simuluje akce uživatele).
Moxey studoval aplikace Cellebrite a našel tam kritická zranitelnost, která umožňovala spuštění libovolného kódu při pokusu o skenování speciálně navržených dat. Bylo také zjištěno, že aplikace Cellebrite používá zastaralou knihovnu ffmpeg, která nebyla aktualizována 9 let a obsahovala velké množství neopravených zranitelností. Namísto přiznání problémů a nápravy problémů, Cellebrite vydal prohlášení, že se stará o integritu uživatelských dat, udržuje zabezpečení svých produktů na správné úrovni, pravidelně vydává aktualizace a dodává nejlepší aplikace svého druhu.
- Největší úspěch. Cena byla udělena Ilfaku Gilfanovovi, autorovi disassembleru IDA a dekompilátoru Hex-Rays, za jeho přínos k vývoji nástrojů pro bezpečnostní výzkumníky a jeho schopnost udržovat aktuální produkt po dobu 30 let.
Zdroj: opennet.ru