Se han anunciado los ganadores de los premios anuales Pwnie Awards 2021, que destacan las vulnerabilidades y fallos absurdos más importantes en seguridad informática. Los premios Pwnie se consideran el equivalente a los premios Oscar y Golden Raspberries en el campo de la seguridad informática.
Principales ganadores (lista de contendientes):
- La mejor vulnerabilidad que conduce a una escalada de privilegios. La victoria fue otorgada a Qualys por identificar la vulnerabilidad CVE-2021-3156 en la utilidad sudo, que permite obtener privilegios de root. La vulnerabilidad estuvo presente en el código durante aproximadamente 10 años y es notable que identificarla requirió un análisis exhaustivo de la lógica de la utilidad.
- El mejor error del servidor. Otorgado por identificar y explotar el error técnicamente más complejo e interesante en un servicio de red. La victoria fue concedida por identificar un nuevo vector de ataques a Microsoft Exchange. No se ha publicado información sobre todas las vulnerabilidades de esta clase, pero ya se ha divulgado información sobre la vulnerabilidad CVE-2021-26855 (ProxyLogon), que le permite extraer datos de un usuario arbitrario sin autenticación, y CVE-2021-27065. , lo que permite ejecutar su código en un servidor con derechos de administrador.
- El mejor ataque criptográfico. Otorgado por identificar las brechas más significativas en sistemas, protocolos y algoritmos de cifrado reales. El premio fue otorgado a Microsoft por una vulnerabilidad (CVE-2020-0601) en la implementación de firmas digitales basadas en curvas elípticas, que permite generar claves privadas a partir de claves públicas. El problema permitió la creación de certificados TLS falsos para HTTPS y firmas digitales ficticias que Windows verificó como confiables.
- La investigación más innovadora jamás realizada. El premio fue otorgado a los investigadores que propusieron el método BlindSide para evitar la protección de aleatorización basada en direcciones (ASLR) utilizando fugas de canal lateral resultantes de la ejecución especulativa de instrucciones del procesador.
- El mayor fracaso (FALLO más épico). El premio fue otorgado a Microsoft por publicar repetidamente una solución fallida para la vulnerabilidad PrintNightmare (CVE-2021-34527) en el sistema de impresión de Windows que permitía la ejecución de código. Microsoft inicialmente señaló que el problema era local, pero luego resultó que el ataque podía llevarse a cabo de forma remota. Luego, Microsoft publicó actualizaciones cuatro veces, pero cada vez la solución solo cerró un caso especial y los investigadores encontraron una nueva forma de llevar a cabo el ataque.
- El mejor error en el software cliente. El ganador fue el investigador que identificó la vulnerabilidad CVE-2020-28341 en los criptoprocesadores seguros de Samsung, que recibió un certificado de seguridad CC EAL 5+. La vulnerabilidad hizo posible eludir completamente la seguridad y obtener acceso al código que se ejecuta en el chip y a los datos almacenados en el enclave, evitar el bloqueo del protector de pantalla y también realizar cambios en el firmware para crear una puerta trasera oculta.
- La vulnerabilidad más subestimada. El premio fue otorgado a Qualys por identificar una serie de vulnerabilidades de 21Nails en el servidor de correo Exim, 10 de las cuales pueden explotarse de forma remota. Los desarrolladores de Exim se mostraron escépticos sobre la posibilidad de explotar los problemas y dedicaron más de 6 meses a desarrollar soluciones.
- La respuesta más tonta del proveedor. Nominación a la respuesta más inadecuada a un mensaje sobre una vulnerabilidad en su propio producto. La ganadora fue Cellebrite, una empresa que crea aplicaciones para análisis forense y extracción de datos por parte de las fuerzas del orden. Cellebrite no respondió adecuadamente a un informe de vulnerabilidad enviado por Moxie Marlinspike, autor del protocolo Signal. Moxey se interesó por Cellebrite tras la publicación en los medios de comunicación de una nota sobre la creación de una tecnología que permite hackear mensajes cifrados de Signal, que luego resultó ser falsa debido a una mala interpretación de la información de un artículo en el sitio web de Cellebrite, que fue luego se eliminó (“el ataque” requirió acceso físico al teléfono y la capacidad de eliminar la pantalla de bloqueo, es decir, se redujo a ver mensajes en el Messenger, pero no manualmente, sino usando una aplicación especial que simula las acciones del usuario).
Moxey estudió las aplicaciones de Cellebrite y encontró vulnerabilidades críticas que permitían la ejecución de código arbitrario al intentar escanear datos especialmente diseñados. También se descubrió que la aplicación Cellebrite utilizaba una biblioteca ffmpeg obsoleta que no se había actualizado durante 9 años y contenía una gran cantidad de vulnerabilidades sin parchear. En lugar de admitir los problemas y solucionarlos, Cellebrite emitió una declaración de que se preocupa por la integridad de los datos del usuario, mantiene la seguridad de sus productos en el nivel adecuado, publica actualizaciones periódicamente y ofrece las mejores aplicaciones de su tipo.
- El mayor logro. El premio fue otorgado a Ilfak Gilfanov, autor del desensamblador IDA y del descompilador Hex-Rays, por sus contribuciones al desarrollo de herramientas para investigadores de seguridad y su capacidad para mantener un producto actualizado durante 30 años.
Fuente: opennet.ru