Die Gewinner der jährlichen Pwnie Awards 2021 wurden bekannt gegeben und heben die größten Schwachstellen und absurdesten Fehler in der Computersicherheit hervor. Die Pwnie Awards gelten im Bereich Computersicherheit als das Äquivalent der Oscars und Golden Raspberrys.
Hauptgewinner (Liste der Teilnehmer):
- Beste Schwachstelle, die zu einer Rechteausweitung führt. Der Sieg ging an Qualys für die Identifizierung der Schwachstelle CVE-2021-3156 im Dienstprogramm sudo, die es Ihnen ermöglicht, Root-Rechte zu erlangen. Die Schwachstelle war etwa zehn Jahre lang im Code vorhanden und ist insofern bemerkenswert, als ihre Identifizierung eine gründliche Analyse der Logik des Dienstprogramms erforderte.
- Bester Serverfehler. Ausgezeichnet für die Identifizierung und Ausnutzung des technisch komplexesten und interessantesten Fehlers in einem Netzwerkdienst. Der Sieg wurde für die Identifizierung eines neuen Angriffsvektors auf Microsoft Exchange verliehen. Informationen zu nicht allen Schwachstellen dieser Klasse wurden veröffentlicht, es wurden jedoch bereits Informationen zu den Schwachstellen CVE-2021-26855 (ProxyLogon), die es Ihnen ermöglicht, die Daten eines beliebigen Benutzers ohne Authentifizierung zu extrahieren, und CVE-2021-27065 veröffentlicht , was es ermöglicht, Ihren Code auf einem Server mit Administratorrechten auszuführen.
- Der beste kryptografische Angriff. Ausgezeichnet für die Identifizierung der größten Lücken in realen Systemen, Protokollen und Verschlüsselungsalgorithmen. Der Preis ging an Microsoft für eine Schwachstelle (CVE-2020-0601) bei der Implementierung digitaler Signaturen auf Basis elliptischer Kurven, die die Generierung privater Schlüssel auf Basis öffentlicher Schlüssel ermöglicht. Das Problem ermöglichte die Erstellung gefälschter TLS-Zertifikate für HTTPS und fiktiver digitaler Signaturen, die von Windows als vertrauenswürdig verifiziert wurden.
- Die innovativste Forschung aller Zeiten. Der Preis wurde an Forscher verliehen, die die BlindSide-Methode vorgeschlagen haben, um den Schutz durch adressbasierte Randomisierung (ASLR) mithilfe von Seitenkanallecks zu umgehen, die aus der spekulativen Prozessorausführung von Anweisungen resultieren.
- Der größte Misserfolg (Most Epic FAIL). Die Auszeichnung wurde an Microsoft für die wiederholte Veröffentlichung eines fehlerhaften Fixes für die PrintNightmare-Schwachstelle (CVE-2021-34527) im Windows-Drucksystem verliehen, der die Ausführung von Code ermöglichte. Microsoft hatte das Problem zunächst als lokal gekennzeichnet, doch dann stellte sich heraus, dass der Angriff aus der Ferne erfolgen konnte. Anschließend veröffentlichte Microsoft viermal Updates, doch jedes Mal schloss der Fix nur einen Sonderfall ab und die Forscher fanden einen neuen Weg, den Angriff durchzuführen.
- Der beste Fehler in der Client-Software. Der Gewinner war der Forscher, der die Schwachstelle CVE-2020-28341 in sicheren Kryptoprozessoren von Samsung identifizierte und ein CC EAL 5+ Sicherheitszertifikat erhielt. Die Sicherheitslücke ermöglichte es, die Sicherheit vollständig zu umgehen und Zugriff auf den auf dem Chip ausgeführten Code und die in der Enklave gespeicherten Daten zu erhalten, die Bildschirmschonersperre zu umgehen und auch Änderungen an der Firmware vorzunehmen, um eine versteckte Hintertür zu erstellen.
- Die am meisten unterschätzte Schwachstelle. Die Auszeichnung ging an Qualys für die Identifizierung einer Reihe von 21Nails-Schwachstellen im Exim-Mailserver, von denen zehn aus der Ferne ausgenutzt werden können. Die Exim-Entwickler waren skeptisch, ob die Probleme ausgenutzt werden könnten, und verbrachten über sechs Monate damit, Lösungen zu entwickeln.
- Lahmste Antwort des Anbieters. Nominierung für die unzulänglichste Antwort auf eine Meldung über eine Schwachstelle im eigenen Produkt. Der Gewinner war Cellebrite, ein Unternehmen, das Anwendungen für forensische Analysen und Datenextraktion durch Strafverfolgungsbehörden entwickelt. Cellebrite reagierte nicht angemessen auf einen Schwachstellenbericht von Moxie Marlinspike, dem Autor des Signal-Protokolls. Moxey interessierte sich für Cellebrite, nachdem in den Medien ein Hinweis über die Entwicklung einer Technologie veröffentlicht wurde, die das Hacken verschlüsselter Signalnachrichten ermöglicht, die sich später aufgrund einer Fehlinterpretation der Informationen in einem Artikel auf der Cellebrite-Website als Fälschung herausstellte dann entfernt („der Angriff“ erforderte physischen Zugriff auf das Telefon und die Möglichkeit, den Sperrbildschirm zu entfernen, d. h. er beschränkte sich auf das Anzeigen von Nachrichten im Messenger, jedoch nicht manuell, sondern mithilfe einer speziellen Anwendung, die Benutzeraktionen simuliert).
Moxey untersuchte Cellebrite-Anwendungen und fand dort kritische Schwachstellen, die die Ausführung von beliebigem Code beim Versuch, speziell entworfene Daten zu scannen, ermöglichten. Es wurde außerdem festgestellt, dass die Cellebrite-Anwendung eine veraltete ffmpeg-Bibliothek verwendet, die seit 9 Jahren nicht aktualisiert wurde und eine große Anzahl ungepatchter Schwachstellen enthielt. Anstatt die Probleme einzugestehen und zu beheben, gab Cellebrite eine Erklärung ab, dass ihm die Integrität der Benutzerdaten am Herzen liegt, die Sicherheit seiner Produkte auf dem richtigen Niveau bleibt, regelmäßig Updates veröffentlicht und die besten Anwendungen seiner Art bereitstellt.
- Der größte Erfolg. Der Preis wurde an Ilfak Gilfanov, Autor des IDA-Disassemblers und des Hex-Rays-Decompilers, für seine Beiträge zur Entwicklung von Tools für Sicherheitsforscher und seine Fähigkeit, ein Produkt 30 Jahre lang auf dem neuesten Stand zu halten, verliehen.
Source: opennet.ru