Iga-aastase Pwnie Awards 2021 võitjad on selgunud, tõstes esile kõige olulisemad haavatavused ja absurdsed tõrked arvutiturbe valdkonnas. Pwnie auhindu peetakse arvutiturbe valdkonnas Oscarite ja Kuldse Vaarika samaväärseks.
Peamised võitjad (pretendentide nimekiri):
- Parem privileegide eskalatsiooni haavatavus. Võidu pälvis Qualys sudo utiliidi haavatavuse CVE-2021-3156 tuvastamise eest, mis võimaldab hankida juurõigusi. Haavatavus on koodis olnud umbes 10 aastat ja on tähelepanuväärne selle poolest, et selle tuvastamiseks oli vaja põhjalikku utiliidi loogika analüüsi.
- Parim serveriviga. Autasustatud võrguteenuse tehniliselt kõige keerukama ja huvitavama vea tuvastamise ja kasutamise eest. Võit anti Microsoft Exchange'i uue ründevektori tuvastamise eest. Teavet kõigi selle klassi haavatavuste kohta ei ole avaldatud, kuid juba on avaldatud teavet haavatavuse CVE-2021-26855 (ProxyLogon), mis võimaldab suvalisel kasutajal andmeid hankida ilma autentimiseta, ja CVE-2021-27065 kohta, mis muudab oma koodi on võimalik käivitada administraatoriõigustega serveris.
- Parim krüptograafiline rünnak. Autasustatud reaalsete süsteemide, protokollide ja krüpteerimisalgoritmide kõige olulisemate vigade tuvastamise eest. Auhind anti Microsoftile haavatavuse (CVE-2020-0601) eest elliptilise kõveraga digitaalallkirjade rakendamisel, mis võivad genereerida avalikest võtmetest privaatvõtmeid. Probleem võimaldas luua HTTPS-i jaoks võltsitud TLS-sertifikaate ja fiktiivseid digitaalallkirju, mille usaldusväärsus kinnitati Windowsis.
- Kõige uuenduslikumad uuringud. Auhind anti teadlastele, kes pakkusid välja BlindSide'i meetodi aadressi randomiseerimisel põhinevast (ASLR) kaitsest möödahiilimiseks, kasutades protsessori juhiste spekulatiivsest täitmisest tulenevaid külgkanalite lekkeid.
- Suurim ebaõnnestumine (Most Epic FAIL). Auhind anti Microsoftile Windowsi printimissüsteemi PrintNightmare (CVE-2021-34527) haavatavuse mitme väljalaskega vigase paranduse eest, mis võimaldab teil oma koodi käivitada. Alguses märkis Microsoft, et probleem on kohalik, kuid siis selgus, et rünnak on võimalik kaugjuhtimisega. Seejärel avaldas Microsoft värskendusi neli korda, kuid iga kord sulges parandus ainult erijuhtumi ja teadlased leidsid rünnaku läbiviimiseks uue viisi.
- Parim viga klienditarkvaras. Võitjaks osutus teadlane, kes tuvastas CC EAL 2020+ turvasertifikaadi saanud Samsungi turvalistes krüptoprotsessorites haavatavuse CVE-28341-5. Haavatavus võimaldas kaitsest täielikult mööda minna ja pääseda juurde kiibil käivitatud koodile ja enklaavis salvestatud andmetele, mööda minna ekraanisäästja lukust ning teha ka püsivara muudatusi, et luua peidetud tagauks.
- Kõige alahinnatud haavatavus. Auhind anti Qualysile Eximi meiliserveris rea 21Nailsi haavatavuse tuvastamise eest, millest 10 sai kaugjuhtimisega ära kasutada. Eximi arendajad olid probleemide ärakasutamise võimaluse suhtes skeptilised ja kulutasid paranduste väljatöötamisele üle 6 kuu.
- Tootja kõige labasem reaktsioon (Lamest Vendor Response). Nominent kõige ebasobivama vastuse eest oma toote haavatavuse teatele. Võitjaks osutus Cellebrite – ettevõte, mis ehitab õiguskaitse jaoks kohtuekspertiisi ja andmekaeve rakendusi. Cellebrite reageeris signaaliprotokolli autori Moxie Marlinspike'i postitatud haavatavuse aruandele sobimatult. Moxxi hakkas Cellebrite'i vastu huvi tundma pärast meediaartiklit krüpteeritud signaalisõnumite häkkimist võimaldava tehnoloogia loomisest, mis hiljem osutus võltsinguks, kuna Cellebrite'i veebisaidi artiklis sisalduva teabe väärtõlgenduse tõttu, mis seejärel eemaldati (“ rünnak” nõudis füüsilist juurdepääsu telefonile ja ekraani avamise võimalust, st taandati sõnumite vaatamisele Messengeris, kuid mitte käsitsi, vaid spetsiaalse rakenduse abil, mis simuleerib kasutaja toiminguid).
Moxxi uuris Cellebrite'i rakendusi ja leidis sealt kriitilisi turvaauke, mis võimaldasid spetsiaalselt loodud andmete skannimisel suvalist koodi käivitada. Samuti leiti, et Cellebrite'i rakendus kasutab aegunud ffmpeg teeki, mida ei ole 9 aastat uuendatud ja mis sisaldab suurel hulgal parandamata turvaauke. Probleemide tunnistamise ja probleemide lahendamise asemel on Cellebrite avaldanud avalduse, et hoolib kasutajaandmete terviklikkusest, hoiab oma toodete turvalisust õigel tasemel, annab välja regulaarseid uuendusi ja pakub omataolisi parimaid rakendusi.
- Suurim saavutus. Auhinna sai IDA disassembleri ja Hex-Rays dekompilaatori autor Ilfak Gilfanov panuse eest turvauurijatele mõeldud tööriistade väljatöötamisse ja suutlikkuse eest hoida toodet 30 aasta jooksul ajakohasena.
Allikas: opennet.ru