برندگان جوایز سالانه Pwnie 2021 مشخص شدند که مهمترین آسیبپذیریها و شکستهای پوچ در زمینه امنیت رایانه را برجسته میکنند. جوایز Pwnie معادل جوایز اسکار و تمشک طلایی در امنیت کامپیوتر در نظر گرفته می شود.
برندگان اصلی (لیست مدعیان):
- آسیب پذیری افزایش امتیاز بهتر. این پیروزی به دلیل شناسایی آسیبپذیری CVE-2021-3156 در ابزار sudo به Qualys اعطا شد، که اجازه به دست آوردن امتیازات ریشه را میدهد. این آسیب پذیری حدود 10 سال است که در کد وجود دارد و به این دلیل قابل توجه است که برای شناسایی آن نیاز به تجزیه و تحلیل کامل منطق ابزار بود.
- بهترین باگ سرور. این جایزه به دلیل شناسایی و بهرهبرداری از پیچیدهترین و جالبترین باگ از نظر فنی در یک سرویس شبکه اهدا شد. برنده به دلیل شناسایی یک بردار حمله جدید در Microsoft Exchange اهدا شد. همه آسیبپذیریهای این کلاس منتشر نشدهاند، اما اطلاعات مربوط به CVE-2021-26855 (ProxyLogon) که امکان استخراج دادههای دلخواه کاربر بدون احراز هویت را فراهم میکند، و CVE-2021-27065 که امکان اجرای کد سفارشی را فراهم میکند، قبلاً افشا شده است. سرور با حقوق مدیر
- Лучшая криптографическая атака. Присуждается за выявление наиболее значимых брешей в реальных системах, протоколах и алгоритмах шифрования. Премия присуждена компании Microsoft за уязвимость (CVE-2020-0601) в реализации цифровых подписей на основе эллиптических кривых, позволяющую сгенерировать закрытые ключи на основе открытых ключей. Проблема позволяла создать поддельные TLS-сертификаты для HTTPS и фиктивные цифровые подписи, которые верифицировались в Windows как заслуживающие доверия.
- نوآورانه ترین تحقیقات این جایزه به محققانی اعطا شد که روش BlindSide را برای دور زدن حفاظت مبتنی بر تصادفی سازی آدرس (ASLR) با استفاده از نشت های کانال جانبی ناشی از اجرای گمانه زنی دستورالعمل ها توسط پردازنده ارائه کردند.
- Самый большой провал (Most Epic FAIL). Премия присуждена компании Microsoft за многократно выпущенное неработающее исправление уязвимости PrintNightmare (CVE-2021-34527) в системе вывода на печать Windows, позволяющей выполнить свой код. Вначале компания Microsoft пометила проблему как локальную, но затем выяснилось, что атака может быть совершена удалённо. Затем Microsoft четыре раза публиковала обновления, но каждый раз исправление закрывало лишь частный случай и исследователи находили новый способ совершения атаки.
- بهترین اشکال در نرم افزار مشتری. برنده، محققی بود که آسیبپذیری CVE-2020-28341 را در پردازندههای رمزنگاری امن سامسونگ که گواهی امنیتی CC EAL 5+ دریافت کرده بودند، شناسایی کرد. این آسیبپذیری امکان دور زدن کامل حفاظت و دسترسی به کد اجرا شده بر روی تراشه و دادههای ذخیره شده در محفظه، دور زدن قفل محافظ صفحه و همچنین ایجاد تغییراتی در سیستم عامل برای ایجاد یک درپشتی مخفی را ممکن میسازد.
- جایزه دستکم گرفتهشدهترین آسیبپذیری: Qualys به خاطر کشف سری آسیبپذیریهای 21Nails در ایمیل، این جایزه را دریافت کرد. سرور Exim، که ۱۰ مورد از آنها میتوانند از راه دور مورد سوءاستفاده قرار گیرند. توسعهدهندگان Exim در مورد احتمال سوءاستفاده تردید داشتند و بیش از شش ماه را صرف توسعهی راهحلها کردند.
- کمترین واکنش سازنده (Lamest Vendor Response). نامزدی برای نامناسب ترین پاسخ به گزارش آسیب پذیری در محصول خود. برنده Cellebrite بود، شرکتی که برنامه های کاربردی تجزیه و تحلیل پزشکی قانونی و داده کاوی را برای اجرای قانون می سازد. Cellebrite به گزارش آسیبپذیری ارسال شده توسط Moxie Marlinspike، نویسنده پروتکل سیگنال، پاسخ نامناسبی داد. Moxxi پس از یک مقاله رسانه ای در مورد ایجاد فناوری که اجازه هک پیام های سیگنال رمزگذاری شده را می دهد، به Cellebrite علاقه مند شد، که بعداً به دلیل تفسیر نادرست از اطلاعات در مقاله ای در وب سایت Cellebrite جعلی بود، که سپس حذف شد (" حمله» مستلزم دسترسی فیزیکی به تلفن و توانایی باز کردن قفل صفحه بود، یعنی به مشاهده پیامها در پیامرسان کاهش مییابد، اما نه به صورت دستی، بلکه با استفاده از یک برنامه ویژه که اقدامات کاربر را شبیهسازی میکند).
Moxxi برنامههای Cellebrite را مطالعه کرد و آسیبپذیریهای مهمی را در آنجا پیدا کرد که اجازه میداد کد دلخواه هنگام تلاش برای اسکن دادههای طراحیشده خاص اجرا شود. همچنین مشخص شد که برنامه Cellebrite از یک کتابخانه قدیمی ffmpeg استفاده می کند که به مدت 9 سال به روز نشده و حاوی تعداد زیادی آسیب پذیری اصلاح نشده است. Cellebrite به جای اعتراف به مشکلات و رفع مشکلات، بیانیهای صادر کرده است که به یکپارچگی دادههای کاربران اهمیت میدهد، امنیت محصولات خود را در سطح مناسب حفظ میکند، بهروزرسانیهای منظم را منتشر میکند و بهترین برنامههای کاربردی در نوع خود را ارائه میدهد.
- بزرگترین دستاورد. این جایزه به ایلفاک گیلفانوف، نویسنده جداسازکننده IDA و دیکامپایلر Hex-Rays، به دلیل مشارکت در توسعه ابزار برای محققان امنیتی و توانایی او در به روز نگه داشتن محصول به مدت 30 سال اعطا شد.
منبع: opennet.ru
