Vinderne af den årlige Pwnie Awards 2021 er blevet offentliggjort, hvilket fremhæver de mest markante sårbarheder og absurde fejl inden for computersikkerhed. Pwnie Awards anses for at svare til Oscars og Golden Raspberries inden for computersikkerhed.
Hovedvindere (liste over kandidater):
- Bedste sårbarhed, der fører til privilegieeskalering. Sejren blev tildelt Qualys for at identificere sårbarheden CVE-2021-3156 i sudo-værktøjet, som giver dig mulighed for at opnå root-privilegier. Sårbarheden var til stede i koden i omkring 10 år og er bemærkelsesværdig, fordi identifikationen af den krævede en grundig analyse af værktøjets logik.
- Bedste serverfejl. Tildelt for at identificere og udnytte den mest teknisk komplekse og interessante fejl i en netværkstjeneste. Sejren blev tildelt for at identificere en ny angrebsvektor på Microsoft Exchange. Oplysninger om ikke alle sårbarheder i denne klasse er blevet offentliggjort, men der er allerede blevet offentliggjort oplysninger om sårbarheden CVE-2021-26855 (ProxyLogon), som giver dig mulighed for at udtrække data fra en vilkårlig bruger uden godkendelse, og CVE-2021-27065 , som gør det muligt at udføre din kode på en server med administratorrettigheder.
- Det bedste kryptografiske angreb. Tildelt for at identificere de væsentligste huller i rigtige systemer, protokoller og krypteringsalgoritmer. Prisen blev tildelt Microsoft for en sårbarhed (CVE-2020-0601) i implementeringen af digitale signaturer baseret på elliptiske kurver, som gør det muligt at generere private nøgler baseret på offentlige nøgler. Problemet gjorde det muligt at oprette falske TLS-certifikater til HTTPS og fiktive digitale signaturer, der blev bekræftet som troværdige af Windows.
- Den mest innovative forskning nogensinde. Prisen blev tildelt forskere, der foreslog BlindSide-metoden til at omgå adressebaseret randomiseringsbeskyttelse (ASLR) ved hjælp af sidekanallækager som følge af spekulativ processorudførelse af instruktioner.
- Den største fiasko (Most Epic FAIL). Prisen blev tildelt Microsoft for gentagne gange at have frigivet en ødelagt rettelse til PrintNightmare-sårbarheden (CVE-2021-34527) i Windows-udskrivningssystemet, der tillod kodekørsel. Microsoft markerede i første omgang problemet som lokalt, men så viste det sig, at angrebet kunne udføres eksternt. Så offentliggjorde Microsoft opdateringer fire gange, men hver gang fik rettelsen kun lukket et særligt tilfælde, og forskerne fandt en ny måde at udføre angrebet på.
- Den bedste fejl i klientsoftware. Vinderen var den forsker, der identificerede CVE-2020-28341-sårbarheden i Samsungs sikre kryptoprocessorer, som modtog et CC EAL 5+ sikkerhedscertifikat. Sårbarheden gjorde det muligt helt at omgå sikkerheden og få adgang til koden, der kører på chippen og data gemt i enklaven, omgå pauseskærmslåsen og også foretage ændringer i firmwaren for at skabe en skjult bagdør.
- Den mest undervurderede sårbarhed. Prisen blev tildelt Qualys for at identificere en række 21Nails-sårbarheder i Exim-mailserveren, hvoraf 10 kan fjernudnyttes. Exim-udviklerne var skeptiske over, at problemerne kunne udnyttes og brugte over 6 måneder på at udvikle rettelser.
- Lamest leverandørsvar. Nominering for det mest utilstrækkelige svar på en besked om en sårbarhed i dit eget produkt. Vinderen var Cellebrite, et firma, der opretter applikationer til retsmedicinsk analyse og dataudtræk af retshåndhævende myndigheder. Cellebrite reagerede ikke tilstrækkeligt på en sårbarhedsrapport sendt af Moxie Marlinspike, forfatteren af Signal-protokollen. Moxey blev interesseret i Cellebrite efter offentliggørelsen i medierne af en note om oprettelsen af en teknologi, der tillader hacking af krypterede signalbeskeder, som senere viste sig at være en falsk på grund af fejlfortolkning af oplysninger i en artikel på Cellebrite-webstedet, som var derefter fjernet ("angrebet" krævede fysisk adgang til telefonen og muligheden for at fjerne låseskærmen, dvs. det blev reduceret til at se beskeder i messengeren, men ikke manuelt, men ved hjælp af en speciel applikation, der simulerer brugerhandlinger).
Moxey studerede Cellebrite-applikationer og fandt kritiske sårbarheder der, som gjorde det muligt at udføre vilkårlig kode, når man forsøgte at scanne specialdesignede data. Cellebrite-applikationen viste sig også at bruge et forældet ffmpeg-bibliotek, der ikke var blevet opdateret i 9 år og indeholdt et stort antal uoprettede sårbarheder. I stedet for at indrømme problemerne og løse problemerne, udsendte Cellebrite en erklæring om, at det bekymrer sig om integriteten af brugerdata, opretholder sikkerheden af sine produkter på det rette niveau, udgiver regelmæssigt opdateringer og leverer de bedste applikationer af sin art.
- Den største præstation. Prisen blev tildelt Ilfak Gilfanov, forfatter til IDA-disassembleren og Hex-Rays-decompileren, for hans bidrag til udviklingen af værktøjer til sikkerhedsforskere og hans evne til at opretholde et opdateret produkt i 30 år.
Kilde: opennet.ru