2021 urteko Pwnie sarien irabazleak jakinarazi dira, segurtasun informatikoan dauden ahultasun esanguratsuenak eta hutsegite absurdoak nabarmenduz. Pwnie Awards Oscar eta Golden Raspberriesen baliokidetzat hartzen da segurtasun informatikoaren arloan.
Irabazle nagusiak (lehiakideen zerrenda):
- Pribilegioak handitzeko ahultasun onena. Garaipena Qualys-i eman zitzaion sudo utilitatean CVE-2021-3156 ahultasuna identifikatzeagatik, root pribilegioak lortzeko aukera ematen duena. Zaurgarritasuna 10 urte inguru egon zen kodean eta aipagarria da hura identifikatzeak erabilgarritasunaren logikaren azterketa sakona behar zuelako.
- Zerbitzariaren akats onena. Sare-zerbitzu bateko akats teknikoki konplexuena eta interesgarriena identifikatu eta ustiatzeagatik saritua. Garaipena Microsoft Exchange-ren aurkako eraso-bektore berri bat identifikatzeagatik eman zen. Klase honetako ahultasun guztiei buruzko informazioa ez da argitaratu, baina CVE-2021-26855 (ProxyLogon) ahultasunari buruzko informazioa zabaldu da, erabiltzaile arbitrario baten datuak autentifikaziorik gabe ateratzeko eta CVE-2021-27065. , zure kodea administratzaile-eskubideak dituen zerbitzari batean exekutatzeko aukera ematen duena.
- Eraso kriptografiko onena. Benetako sistema, protokolo eta enkriptazio-algoritmoen hutsune esanguratsuenak identifikatzeagatik saritua. Saria Microsoft-i eman zitzaion (CVE-2020-0601) kurba eliptikoetan oinarritutako sinadura digitalak ezartzeagatik, gako publikoetan oinarritutako gako pribatuak sortzea ahalbidetzen duena. Arazoak HTTPSrako TLS ziurtagiri faltsuak eta Windows-ek fidagarriak direla egiaztatu zuen fikziozko sinadura digitalak sortzeko aukera eman zuen.
- Inoizko ikerketarik berritzaileena. Saria BlindSide metodoa proposatu zuten ikertzaileei eman zitzaien, helbideetan oinarritutako ausazko banaketa (ASLR) babesa saihesteko, prozesadore espekulatiboko jarraibideen exekuzioaren ondoriozko albo-kanalen ihesak erabiliz.
- Hutsik handiena (FAIL EPIkoena). Saria Microsoft-i eman zitzaion, Windows inprimatzeko sisteman, PrintNightmare ahultasunaren (CVE-2021-34527) konponketa hautsi bat behin eta berriz askatzeagatik, kodea exekutatzen ahalbidetzen zuena. Hasieran Microsoft-ek arazoa tokikotzat jo zuen, baina gero erasoa urrunetik egin zitekeela ikusi zuen. Gero Microsoft-ek eguneraketak lau aldiz argitaratu zituen, baina konponketak kasu berezi bat besterik ez zuen itxi eta ikertzaileek erasoa burutzeko modu berri bat aurkitu zuten.
- Bezeroaren softwareko akatsik onena. Irabazlea Samsung kriptoprozesadore seguruetan CVE-2020-28341 ahultasuna identifikatu zuen ikertzailea izan zen, CC EAL 5+ segurtasun ziurtagiria jaso zuena. Zaurgarritasunari esker, segurtasuna erabat saihestu eta enklabean gordetako txipan eta datuetan exekutatzen den kodean sartzeko aukera eman zuen, pantaila-babeslearen blokeoa saihestu eta firmwarean aldaketak egitea ere ezkutuko atzeko ate bat sortzeko.
- Ahultasun gutxietsiena. Saria Qualys-i eman zitzaion Exim posta-zerbitzarian 21Nails ahultasun sorta bat identifikatzeagatik, horietako 10 urrunetik ustiatu daitezkeenak. Exim-eko garatzaileak zalantzan zeuden arazoak ustiatu zitezkeela eta 6 hilabete baino gehiago eman zituzten konponketak garatzen.
- Saltzaile herrenaren erantzuna. Zure produktuaren ahultasun bati buruzko mezu bati emandako erantzunik desegokienaren izendapena. Irabazlea Cellebrite izan zen, forentse-analisia eta datuak ateratzeko aplikazioak sortzen dituen enpresa bat. Cellebritek ez zion behar bezala erantzun Moxie Marlinspike Signal protokoloaren egileak bidalitako ahultasun-txostenari. Moxey-k Cellebrite-rekin interesatu zen komunikabideetan Seinale mezu enkriptatutako mezuak pirateatzea ahalbidetzen duen teknologia bat sortzeari buruzko ohar bat argitaratu ostean, gerora faltsu bihurtu zen Cellebrite webguneko artikulu batean informazioa gaizki interpretatu zelako. gero kendu (Β«erasoaΒ» telefonorako sarbide fisikoa eta blokeo-pantaila kentzeko gaitasuna eskatzen zuen, hau da, mezularitzan mezuak ikustera murriztu zen, baina ez eskuz, erabiltzailearen ekintzak simulatzen dituen aplikazio berezi bat erabiliz baizik).
Moxeyk Cellebrite aplikazioak aztertu zituen eta ahultasun kritikoak aurkitu zituen bertan, kode arbitrarioa exekutatu ahal izateko bereziki diseinatutako datuak eskaneatzen saiatzean. Cellebrite aplikazioak 9 urtez eguneratu gabeko ffmpeg liburutegi zaharkitu bat erabiltzen zuela eta adabakirik gabeko ahultasun ugari zituen. Arazoak onartu eta arazoak konpondu beharrean, Cellebritek erabiltzailearen datuen osotasuna zaintzen duela, bere produktuen segurtasuna maila egokian mantentzen duela, aldian-aldian eguneratzeak kaleratzen ditu eta mota horretako aplikazio onenak eskaintzen ditu.
- Lorpen handiena. Saria Ilfak Gilfanov-i eman zitzaion, IDA desmuntatzailearen eta Hex-Rays deskonpiladorearen egileak, segurtasun ikertzaileentzako tresnak garatzeko egindako ekarpenagatik eta 30 urtez produktu eguneratua mantentzeko gaitasunagatik.
Iturria: opennet.ru