Αναδείχθηκαν οι νικητές των ετήσιων βραβείων Pwnie 2021, επισημαίνοντας τα πιο σημαντικά τρωτά σημεία και τις πιο παράλογες αποτυχίες στον τομέα της ασφάλειας των υπολογιστών. Τα βραβεία Pwnie θεωρούνται το αντίστοιχο των Όσκαρ και του Χρυσού Βατόμουρου στην ασφάλεια των υπολογιστών.
Κύριοι νικητές (κατάλογος υποψηφίων):
- Καλύτερη ευπάθεια κλιμάκωσης προνομίων. Η νίκη απονεμήθηκε στην Qualys για τον εντοπισμό της ευπάθειας CVE-2021-3156 στο βοηθητικό πρόγραμμα sudo, η οποία επιτρέπει την απόκτηση προνομίων root. Η ευπάθεια υπάρχει στον κώδικα εδώ και περίπου 10 χρόνια και είναι αξιοσημείωτη για το γεγονός ότι χρειάστηκε μια διεξοδική ανάλυση της λογικής του βοηθητικού προγράμματος για τον εντοπισμό του.
- Καλύτερο Σφάλμα Διακομιστή. Βραβεύτηκε για τον εντοπισμό και την αξιοποίηση του πιο τεχνικά πολύπλοκου και ενδιαφέροντος σφάλματος σε μια υπηρεσία δικτύου. Το βραβείο απονεμήθηκε για τον εντοπισμό ενός νέου φορέα επίθεσης στο Microsoft Exchange. Δεν έχουν δημοσιευτεί όλα τα τρωτά σημεία αυτής της κατηγορίας, αλλά έχουν ήδη αποκαλυφθεί πληροφορίες για το CVE-2021-26855 (ProxyLogon), το οποίο επιτρέπει την εξαγωγή αυθαίρετων δεδομένων χρήστη χωρίς έλεγχο ταυτότητας, και το CVE-2021-27065, το οποίο επιτρέπει την εκτέλεση προσαρμοσμένου κώδικα. υπηρέτης s pravami administratora.
- Καλύτερη Κρυπτογραφική Επίθεση. Βραβεύτηκε για τον εντοπισμό των σημαντικότερων ελαττωμάτων σε συστήματα, πρωτόκολλα και αλγόριθμους κρυπτογράφησης του πραγματικού κόσμου. Το βραβείο απονεμήθηκε στη Microsoft για μια ευπάθεια (CVE-2020-0601) στην εφαρμογή ψηφιακών υπογραφών ελλειπτικής καμπύλης που επέτρεπε τη δημιουργία ιδιωτικών κλειδιών από δημόσια κλειδιά. Το πρόβλημα επέτρεψε τη δημιουργία πλαστών πιστοποιητικών TLS για HTTPS και πλασματικών ψηφιακών υπογραφών που επαληθεύτηκαν σε Windows ως αξιόπιστος.
- Η πιο καινοτόμος έρευνα. Το βραβείο δόθηκε σε ερευνητές που πρότειναν τη μέθοδο BlindSide για την παράκαμψη της προστασίας Address Randomization Based Leverage (ASLR) χρησιμοποιώντας διαρροές στο πλευρικό κανάλι που προκύπτουν από εικαστική εκτέλεση εντολών από τον επεξεργαστή.
- Η πιο επική αποτυχία. Απονεμήθηκε στη Microsoft για την πολλαπλή, μη λειτουργική επιδιόρθωση της ευπάθειας PrintNightmare (CVE-2021-34527) στο σύστημα εξόδου εκτύπωσης. Windows, επιτρέποντας την εκτέλεση κώδικα. Η Microsoft αρχικά χαρακτήρισε το πρόβλημα ως τοπικό, αλλά αργότερα κατέστη σαφές ότι η επίθεση μπορούσε να πραγματοποιηθεί εξ αποστάσεως. Στη συνέχεια, η Microsoft κυκλοφόρησε τέσσερις ενημερώσεις, αλλά κάθε φορά η διόρθωση αντιμετώπιζε μόνο ένα συγκεκριμένο πρόβλημα και οι ερευνητές βρήκαν έναν νέο τρόπο για να πραγματοποιήσουν την επίθεση.
- Το καλύτερο σφάλμα στο λογισμικό πελάτη. Νικητής ήταν ο ερευνητής που εντόπισε την ευπάθεια CVE-2020-28341 σε ασφαλείς επεξεργαστές κρυπτογράφησης Samsung που έλαβαν πιστοποιητικό ασφαλείας CC EAL 5+. Η ευπάθεια κατέστησε δυνατή την πλήρη παράκαμψη της προστασίας και την πρόσβαση στον κώδικα που εκτελείται στο τσιπ και τα δεδομένα που είναι αποθηκευμένα στον θύλακα, την παράκαμψη του κλειδώματος της προφύλαξης οθόνης και επίσης την πραγματοποίηση αλλαγών στο υλικολογισμικό για τη δημιουργία μιας κρυφής πόρτας.
- Βραβείο για την πιο υποτιμημένη ευπάθεια: Η Qualys βραβεύτηκε για την ανακάλυψη της σειράς ευπαθειών 21Nails στο email. υπηρέτης Exim, 10 από τα οποία μπορούν να αξιοποιηθούν εξ αποστάσεως. Οι προγραμματιστές του Exim ήταν επιφυλακτικοί σχετικά με την πιθανότητα εκμετάλλευσης και αφιέρωσαν πάνω από έξι μήνες στην ανάπτυξη διορθώσεων.
- Η πιο λαμπερή αντίδραση του κατασκευαστή (Lamest Vendor Response). Υποψηφιότητα για την πιο ακατάλληλη απάντηση σε μια αναφορά ευπάθειας στο δικό του προϊόν. Νικητής ήταν η Cellebrite, μια εταιρεία που κατασκευάζει εφαρμογές εγκληματολογικής ανάλυσης και εξόρυξης δεδομένων για την επιβολή του νόμου. Το Cellebrite απάντησε ακατάλληλα σε μια αναφορά ευπάθειας που δημοσιεύτηκε από τη Moxie Marlinspike, συγγραφέα του πρωτοκόλλου Signal. Ο Moxxi άρχισε να ενδιαφέρεται για το Cellebrite μετά από ένα άρθρο στα μέσα ενημέρωσης σχετικά με τη δημιουργία μιας τεχνολογίας που επιτρέπει την παραβίαση κρυπτογραφημένων μηνυμάτων Signal, τα οποία αργότερα αποδείχθηκαν πλαστά λόγω παρερμηνείας των πληροφοριών σε ένα άρθρο στον ιστότοπο Cellebrite, το οποίο στη συνέχεια αφαιρέθηκε (“ η επίθεση» απαιτούσε φυσική πρόσβαση στο τηλέφωνο και δυνατότητα ξεκλειδώματος της οθόνης, δηλαδή περιορισμένη στην προβολή μηνυμάτων στο messenger, αλλά όχι χειροκίνητα, αλλά χρησιμοποιώντας μια ειδική εφαρμογή που προσομοιώνει τις ενέργειες του χρήστη).
Ο Moxxi μελέτησε εφαρμογές Cellebrite και βρήκε εκεί κρίσιμα τρωτά σημεία που επέτρεπαν την εκτέλεση αυθαίρετου κώδικα κατά την προσπάθεια σάρωσης ειδικά σχεδιασμένων δεδομένων. Διαπιστώθηκε επίσης ότι η εφαρμογή Cellebrite χρησιμοποιεί μια παλιά βιβλιοθήκη ffmpeg που δεν έχει ενημερωθεί εδώ και 9 χρόνια και περιέχει μεγάλο αριθμό μη επιδιορθωμένων τρωτών σημείων. Αντί να αναγνωρίσει τα προβλήματα και να διορθώσει τα προβλήματα, η Cellebrite εξέδωσε μια δήλωση ότι ενδιαφέρεται για την ακεραιότητα των δεδομένων των χρηστών, διατηρεί την ασφάλεια των προϊόντων της στο σωστό επίπεδο, εκδίδει τακτικές ενημερώσεις και παρέχει τις καλύτερες εφαρμογές του είδους της.
- Το μεγαλύτερο επίτευγμα. Το βραβείο απονεμήθηκε στον Ilfak Gilfanov, συγγραφέα του αποσυναρμολογητή IDA και του απομεταγλωττιστή Hex-Rays, για τη συμβολή του στην ανάπτυξη εργαλείων για ερευνητές ασφάλειας και την ικανότητά του να διατηρεί το προϊόν ενημερωμένο για 30 χρόνια.
Πηγή: opennet.ru
