La gajnintoj de la ĉiujaraj Pwnie Awards 2021 estis anoncitaj, elstarigante la plej signifajn vundeblecojn kaj absurdajn fiaskojn en komputila sekureco. Pwnie Awards estas konsiderita la ekvivalento de la Oskaroj kaj Golden Raspberries en la kampo de komputila sekureco.
Ĉefaj gajnintoj (listo de defiantoj):
- Plej bona vundebleco kondukanta al privilegia eskalado. La venko estis aljuĝita al Qualys por identigi la vundeblecon CVE-2021-3156 en la sudo-utilo, kiu ebligas al vi akiri radikajn privilegiojn. La vundebleco ĉeestis en la kodo dum ĉirkaŭ 10 jaroj kaj estas rimarkinda ĉar identigi ĝin postulis ĝisfunda analizo de la logiko de la utileco.
- Plej bona servila cimo. Aljuĝita pro identigado kaj ekspluatado de la plej teknike kompleksa kaj interesa cimo en retservo. La venko estis aljuĝita pro identigado de nova vektoro de atakoj sur Microsoft Exchange. Informoj pri ne ĉiuj vundeblecoj de ĉi tiu klaso estis publikigitaj, sed informoj jam estis diskonigitaj pri la vundebleco CVE-2021-26855 (ProxyLogon), kiu permesas ĉerpi la datumojn de arbitra uzanto sen aŭtentigo, kaj CVE-2021-27065. , kiu ebligas ekzekuti vian kodon sur servilo kun administrantorajtoj.
- La plej bona kripta atako. Aljuĝite pro identigado de la plej signifaj mankoj en realaj sistemoj, protokoloj kaj ĉifrado-algoritmoj. La premio estis aljuĝita al Mikrosofto pro vundebleco (CVE-2020-0601) en la efektivigo de ciferecaj subskriboj bazitaj sur elipsaj kurboj, kio permesas generi privatajn ŝlosilojn bazitajn sur publikaj ŝlosiloj. La afero permesis la kreadon de falsaj TLS-atestiloj por HTTPS kaj fikciaj ciferecaj subskriboj, kiuj estis kontrolitaj kiel fidindaj de Vindozo.
- La plej noviga esplorado iam ajn. La premio estis aljuĝita al esploristoj kiuj proponis la BlindSide-metodon por preteriri adres-bazitan randomigon (ASLR) protekton uzante flankajn kanalajn likojn rezultiĝantajn el konjekta procesoro plenumo de instrukcioj.
- La plej granda fiasko (Most Epic FAIL). La premio estis aljuĝita al Mikrosofto por plurfoje publikigado de rompita solvo por la PrintNightmare vundebleco (CVE-2021-34527) en la Vindoza presanta sistemo kiu permesis kodekzekuton. Mikrosofto komence markis la problemon kiel loka, sed poste montriĝis, ke la atako povus esti farita malproksime. Tiam Microsoft publikigis ĝisdatigojn kvar fojojn, sed ĉiufoje la riparo nur fermis specialan kazon kaj la esploristoj trovis novan manieron fari la atakon.
- La plej bona cimo en klienta programaro. La gajninto estis la esploristo, kiu identigis la vundeblecon CVE-2020-28341 en sekuraj kriptaj procesoroj de Samsung, kiuj ricevis sekurecan atestilon CC EAL 5+. La vundebleco ebligis tute preteriri sekurecon kaj akiri aliron al la kodo funkcianta sur la blato kaj datumoj stokitaj en la enklavo, preteriri la ekranŝparilon, kaj ankaŭ fari ŝanĝojn al la firmvaro por krei kaŝitan malantaŭan pordon.
- La plej subtaksita vundebleco. La premio estis aljuĝita al Qualys pro identigado de serio de 21Nails vundeblecoj en la poŝtservilo Exim, 10 el kiuj povas esti ekspluatitaj malproksime. La Exim-programistoj estis skeptikaj ke la problemoj povus esti ekspluatitaj kaj pasigis pli ol 6 monatojn evoluigante korektojn.
- Plej Lama Vendisto-Respondo. Nomumo por la plej neadekvata respondo al mesaĝo pri vundebleco en via propra produkto. La gajninto estis Cellebrite, firmao kiu kreas aplikojn por krimmedicina analizo kaj datumekstraktado de policagentejoj. Cellebrite ne respondis adekvate al vundebleco-raporto sendita de Moxie Marlinspike, la aŭtoro de la Signal-protokolo. Moxey interesiĝis pri Cellebrite post la publikigo en la amaskomunikilaro de noto pri la kreado de teknologio, kiu permesas haki ĉifritajn Signalajn mesaĝojn, kiuj poste montriĝis falsaĵo pro misinterpreto de informoj en artikolo en la retejo de Cellebrite, kiu estis tiam forigita ("la atako" postulis fizikan aliron al la telefono kaj la kapablon forigi la serurekranon, t.e. ĝi estis reduktita al spektado de mesaĝoj en la mesaĝisto, sed ne permane, sed uzante specialan aplikaĵon, kiu simulas uzantajn agojn).
Moxey studis Cellebrite-aplikojn kaj trovis tie kritikajn vundeblecojn, kiuj permesis al arbitra kodo esti efektivigita dum provado skani speciale dizajnitajn datenojn. La Cellebrite-aplikaĵo ankaŭ estis trovita uzi malmodernan ffmpeg-bibliotekon kiu ne estis ĝisdatigita dum 9 jaroj kaj enhavis grandan nombron da neflakitaj vundeblecoj. Anstataŭ konfesi la problemojn kaj ripari la problemojn, Cellebrite publikigis deklaron, ke ĝi zorgas pri la integreco de uzantdatenoj, konservas la sekurecon de siaj produktoj sur la taŭga nivelo, regule liberigas ĝisdatigojn kaj liveras la plej bonajn aplikojn de sia speco.
- La plej granda atingo. La premio estis aljuĝita al Ilfak Gilfanov, aŭtoro de la malmuntilo IDA kaj la malkompililo Hex-Rays, pro liaj kontribuoj al la disvolviĝo de iloj por esploristoj pri sekureco kaj lia kapablo konservi ĝisdatigitan produkton dum 30 jaroj.
fonto: opennet.ru