Pwnie Awards 2021: die bedeutendsten Sicherheitsanfälligkeiten und -ausfälle

Die Gewinner der jährlichen Pwnie Awards 2021 wurden bekannt gegeben, die die bedeutendsten Sicherheitsanfälligkeiten und absurdesten Missgeschicke im Bereich der Computersicherheit prämieren. Die Pwnie Awards gelten als das Äquivalent zu den Oscars und den Goldenen Himbeeren in der Computersicherheitsbranche.

Hauptgewinner (Liste der Nominierten):

  • Beste Verwundbarkeit, die zu einer Privilegiensteigerung führt. Der Preis wird an die Firma Qualys für die Entdeckung der Verwundbarkeit CVE-2021-3156 in der Sudo-Anwendung verliehen, die root-Rechte ermöglicht. Diese Verwundbarkeit war etwa 10 Jahre im Code vorhanden und bemerkenswert, weil sie eine sorgfältige Analyse der Logik der Anwendung erforderte.
  • Bester Serverfehler. Diese Auszeichnung wird für die Entdeckung und Ausnutzung des technisch anspruchsvollsten und interessantesten Fehlers in einem Netzservice vergeben. Der Preis wird für die Entdeckung eines neuen Angriffsvektors auf Microsoft Exchange verliehen. Informationen über alle Verwundbarkeiten dieser Klasse sind noch nicht veröffentlicht, aber die Details zur Verwundbarkeit CVE-2021-26855 (ProxyLogon), die es ermöglicht, Daten beliebiger Benutzer ohne Authentifizierung abzurufen, sowie zu CVE-2021-27065, die die Ausführung eigenen Codes erlaubt, wurden bereits offengelegt. Server mit Administratorrechten.
  • Die herausragendste kryptografische Attacke. Diese Auszeichnung wird für die Entdeckung der bedeutendsten Schwachstellen in realen Systemen, Protokollen und Verschlüsselungsalgorithmen verliehen. Der Preis ging an Microsoft für die Schwachstelle (CVE-2020-0601) in der Implementierung von digitalen Signaturen basierend auf elliptischen Kurven, die es ermöglicht, private Schlüssel aus öffentlichen Schlüsseln zu generieren. Dieses Problem erlaubte die Erstellung gefälschter TLS-Zertifikate für HTTPS und gefälschter digitaler Signaturen, die unter Windows als vertrauenswürdig verifiziert wurden.
  • Die innovativste Forschung. Der Preis wurde an die Forscher verliehen, die die Methode BlindSide entwickelt haben, um den Schutz durch Address Space Layout Randomization (ASLR) mittels Seitenkanallecks zu umgehen, die durch spekulative Ausführung von Instruktionen im Prozessor entstehen.
  • Der größte Fehlschlag (Most Epic FAIL). Der Preis wurde an Microsoft für das mehrfach veröffentlichte fehlerhafte Update der PrintNightmare-Sicherheitsanfälligkeit (CVE-2021-34527) im Windows-Drucksystem verliehen, das die Ausführung von eigenem Code ermöglichte. Zunächst hatte Microsoft das Problem als lokal eingestuft, stellte jedoch später fest, dass der Angriff auch aus der Ferne durchgeführt werden kann. Microsoft veröffentlichte dann viermal Updates, jedoch wurde jedes Mal nur ein spezieller Fall behoben, sodass Forscher einen neuen Angriffsvektor fanden.
  • Der beste Fehler in der Client-Software. Der Preis ging an einen Forscher, der die Sicherheitsanfälligkeit CVE-2020-28341 in den sicheren Kryptoprozessoren von Samsung entdeckte, die das CC EAL 5+-Zertifikat erhielten. Diese Schwachstelle ermöglichte es, den Schutz vollständig zu umgehen und Zugriff auf den auf dem Chip ausgeführten Code sowie auf die im Enklave gespeicherten Daten zu erhalten, die Bildschirmsperre zu umgehen und Änderungen an der Firmware vorzunehmen, um einen versteckten Backdoor zu erstellen.
  • Die am meisten unterschätzte Schwachstelle. Der Preis wurde an Qualys für die Entdeckung einer Reihe von Schwachstellen der 21Nails in der E-Mail- Server Exim, von denen 10 remote ausgenutzt werden können. Die Entwickler von Exim standen der Möglichkeit, dass diese Probleme ausgenutzt werden, skeptisch gegenüber und benötigten mehr als 6 Monate, um Lösungen zu entwickeln.
  • Die unangemessenste Reaktion eines Herstellers (Lamest Vendor Response). Nominierung für die unangemessenste Antwort auf einen Bericht über Schwachstellen in einem eigenen Produkt. Der Gewinner ist das Unternehmen Cellebrite, das Anwendungen zur kriminaltechnischen Analyse und zur Datenextraktion für Strafverfolgungsbehörden entwickelt. Cellebrite reagierte unangemessen auf die Mitteilung über Schwachstellen, die von Moxie Marlinspike, dem Autor des Signal-Protokolls, gesendet wurde. Moxie interessierte sich für Cellebrite, nachdem in den Medien ein Artikel über die Entwicklung einer Technologie veröffentlicht wurde, die es ermöglicht, verschlüsselte Nachrichten von Signal zu knacken, die sich später als Fake erwiesen hat, weil die Informationen in dem Artikel auf der Webseite von Cellebrite falsch interpretiert wurden und dann entfernt wurden. („Angriff“ erforderte physischen Zugriff auf das Telefon und die Möglichkeit, den Bildschirm zu entsperren, d.h. es handelte sich um die Sichtung von Nachrichten im Messenger, jedoch nicht manuell, sondern mit einer speziellen Anwendung, die die Aktionen des Benutzers simuliert.)

    Moxi hat die Anwendungen von Cellebrite untersucht und dabei kritische Sicherheitsanfälligkeiten entdeckt, die eine Ausführung von beliebigem Code bei der Analyse gezielt gestalteter Daten ermöglichten. In der Anwendung von Cellebrite wurde zudem festgestellt, dass eine veraltete Bibliothek von ffmpeg verwendet wurde, die seit 9 Jahren nicht mehr aktualisiert wurde und zahlreiche ungepatchte Sicherheitsanfälligkeiten enthält. Anstatt die Probleme anzuerkennen und diese zu beheben, veröffentlichte das Unternehmen Cellebrite eine Erklärung, in der es betont, dass es die Integrität der Benutzerdaten schätzt, die Sicherheit seiner Produkte auf angemessenem Niveau hält, regelmäßig Updates herausgibt und die besten Anwendungen ihrer Art liefert.

  • Die größte Auszeichnung. Der Preis wurde Ilfaku Gilfanov, dem Entwickler des IDA-Dissasseblers und des Hex-Rays-Dekompilers, für seinen Beitrag zur Entwicklung von Werkzeugen für Sicherheitsforscher sowie für die Fähigkeit, ein aktuelles Produkt über 30 Jahre lang zu unterstützen, verliehen.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster