Αναδείχθηκαν οι νικητές των ετήσιων βραβείων Pwnie 2021, επισημαίνοντας τα πιο σημαντικά τρωτά σημεία και τις πιο παράλογες αποτυχίες στον τομέα της ασφάλειας των υπολογιστών. Τα βραβεία Pwnie θεωρούνται το αντίστοιχο των Όσκαρ και του Χρυσού Βατόμουρου στην ασφάλεια των υπολογιστών.
Κύριοι νικητές (κατάλογος υποψηφίων):
- Καλύτερη ευπάθεια κλιμάκωσης προνομίων. Η νίκη απονεμήθηκε στην Qualys για τον εντοπισμό της ευπάθειας CVE-2021-3156 στο βοηθητικό πρόγραμμα sudo, η οποία επιτρέπει την απόκτηση προνομίων root. Η ευπάθεια υπάρχει στον κώδικα εδώ και περίπου 10 χρόνια και είναι αξιοσημείωτη για το γεγονός ότι χρειάστηκε μια διεξοδική ανάλυση της λογικής του βοηθητικού προγράμματος για τον εντοπισμό του.
- Καλύτερο σφάλμα διακομιστή. Βραβείο για τον εντοπισμό και την εκμετάλλευση του πιο σύνθετου τεχνικά και ενδιαφέροντος σφάλματος σε μια υπηρεσία δικτύου. Η νίκη απονεμήθηκε για τον εντοπισμό ενός νέου φορέα επιθέσεων στο Microsoft Exchange. Δεν έχουν δημοσιευθεί πληροφορίες σχετικά με όλα τα τρωτά σημεία αυτής της κατηγορίας, αλλά έχουν ήδη αποκαλυφθεί πληροφορίες σχετικά με την ευπάθεια CVE-2021-26855 (ProxyLogon), η οποία επιτρέπει την εξαγωγή δεδομένων από έναν αυθαίρετο χρήστη χωρίς έλεγχο ταυτότητας, και το CVE-2021-27065, που κάνει είναι δυνατό να εκτελέσετε τον κώδικα σας σε διακομιστή με δικαιώματα διαχειριστή.
- Η καλύτερη κρυπτογραφική επίθεση. Βραβεύτηκε για τον εντοπισμό των πιο σημαντικών ελαττωμάτων σε πραγματικά συστήματα, πρωτόκολλα και αλγόριθμους κρυπτογράφησης. Το βραβείο δόθηκε στη Microsoft για μια ευπάθεια (CVE-2020-0601) στην υλοποίηση ψηφιακών υπογραφών ελλειπτικής καμπύλης που θα μπορούσαν να δημιουργήσουν ιδιωτικά κλειδιά από δημόσια κλειδιά. Το πρόβλημα επέτρεψε τη δημιουργία πλαστών πιστοποιητικών TLS για HTTPS και πλασματικών ψηφιακών υπογραφών, τα οποία επαληθεύτηκαν στα Windows ως αξιόπιστα.
- Η πιο καινοτόμος έρευνα. Το βραβείο δόθηκε σε ερευνητές που πρότειναν τη μέθοδο BlindSide για την παράκαμψη της προστασίας Address Randomization Based Leverage (ASLR) χρησιμοποιώντας διαρροές στο πλευρικό κανάλι που προκύπτουν από εικαστική εκτέλεση εντολών από τον επεξεργαστή.
- Η μεγαλύτερη αποτυχία (Most Epic FAIL). Το βραβείο δόθηκε στη Microsoft για την επιδιόρθωση πολλαπλών εκδόσεων για την ευπάθεια PrintNightmare (CVE-2021-34527) στο σύστημα εκτύπωσης των Windows που σας επιτρέπει να εκτελέσετε τον κώδικά σας. Αρχικά, η Microsoft επισήμανε το πρόβλημα ως τοπικό, αλλά στη συνέχεια αποδείχθηκε ότι η επίθεση μπορούσε να πραγματοποιηθεί εξ αποστάσεως. Στη συνέχεια, η Microsoft δημοσίευσε ενημερώσεις τέσσερις φορές, αλλά κάθε φορά η επιδιόρθωση έκλεινε μόνο μια ειδική περίπτωση και οι ερευνητές βρήκαν έναν νέο τρόπο για να πραγματοποιήσουν την επίθεση.
- Το καλύτερο σφάλμα στο λογισμικό πελάτη. Νικητής ήταν ο ερευνητής που εντόπισε την ευπάθεια CVE-2020-28341 σε ασφαλείς επεξεργαστές κρυπτογράφησης Samsung που έλαβαν πιστοποιητικό ασφαλείας CC EAL 5+. Η ευπάθεια κατέστησε δυνατή την πλήρη παράκαμψη της προστασίας και την πρόσβαση στον κώδικα που εκτελείται στο τσιπ και τα δεδομένα που είναι αποθηκευμένα στον θύλακα, την παράκαμψη του κλειδώματος της προφύλαξης οθόνης και επίσης την πραγματοποίηση αλλαγών στο υλικολογισμικό για τη δημιουργία μιας κρυφής πόρτας.
- Η πιο υποτιμημένη ευπάθεια. Το βραβείο δόθηκε στην Qualys για τον εντοπισμό μιας σειράς τρωτών σημείων 21Nails στον διακομιστή αλληλογραφίας Exim, 10 από τα οποία θα μπορούσαν να χρησιμοποιηθούν εξ αποστάσεως. Οι προγραμματιστές του Exim ήταν δύσπιστοι σχετικά με τη δυνατότητα εκμετάλλευσης των προβλημάτων και αφιέρωσαν περισσότερους από 6 μήνες για την ανάπτυξη επιδιορθώσεων.
- Η πιο λαμπερή αντίδραση του κατασκευαστή (Lamest Vendor Response). Υποψηφιότητα για την πιο ακατάλληλη απάντηση σε μια αναφορά ευπάθειας στο δικό του προϊόν. Νικητής ήταν η Cellebrite, μια εταιρεία που κατασκευάζει εφαρμογές εγκληματολογικής ανάλυσης και εξόρυξης δεδομένων για την επιβολή του νόμου. Το Cellebrite απάντησε ακατάλληλα σε μια αναφορά ευπάθειας που δημοσιεύτηκε από τη Moxie Marlinspike, συγγραφέα του πρωτοκόλλου Signal. Ο Moxxi άρχισε να ενδιαφέρεται για το Cellebrite μετά από ένα άρθρο στα μέσα ενημέρωσης σχετικά με τη δημιουργία μιας τεχνολογίας που επιτρέπει την παραβίαση κρυπτογραφημένων μηνυμάτων Signal, τα οποία αργότερα αποδείχθηκαν πλαστά λόγω παρερμηνείας των πληροφοριών σε ένα άρθρο στον ιστότοπο Cellebrite, το οποίο στη συνέχεια αφαιρέθηκε (“ η επίθεση» απαιτούσε φυσική πρόσβαση στο τηλέφωνο και δυνατότητα ξεκλειδώματος της οθόνης, δηλαδή περιορισμένη στην προβολή μηνυμάτων στο messenger, αλλά όχι χειροκίνητα, αλλά χρησιμοποιώντας μια ειδική εφαρμογή που προσομοιώνει τις ενέργειες του χρήστη).
Ο Moxxi μελέτησε εφαρμογές Cellebrite και βρήκε εκεί κρίσιμα τρωτά σημεία που επέτρεπαν την εκτέλεση αυθαίρετου κώδικα κατά την προσπάθεια σάρωσης ειδικά σχεδιασμένων δεδομένων. Διαπιστώθηκε επίσης ότι η εφαρμογή Cellebrite χρησιμοποιεί μια παλιά βιβλιοθήκη ffmpeg που δεν έχει ενημερωθεί εδώ και 9 χρόνια και περιέχει μεγάλο αριθμό μη επιδιορθωμένων τρωτών σημείων. Αντί να αναγνωρίσει τα προβλήματα και να διορθώσει τα προβλήματα, η Cellebrite εξέδωσε μια δήλωση ότι ενδιαφέρεται για την ακεραιότητα των δεδομένων των χρηστών, διατηρεί την ασφάλεια των προϊόντων της στο σωστό επίπεδο, εκδίδει τακτικές ενημερώσεις και παρέχει τις καλύτερες εφαρμογές του είδους της.
- Το μεγαλύτερο επίτευγμα. Το βραβείο απονεμήθηκε στον Ilfak Gilfanov, συγγραφέα του αποσυναρμολογητή IDA και του απομεταγλωττιστή Hex-Rays, για τη συμβολή του στην ανάπτυξη εργαλείων για ερευνητές ασφάλειας και την ικανότητά του να διατηρεί το προϊόν ενημερωμένο για 30 χρόνια.
Πηγή: opennet.ru