برندگان جوایز سالانه Pwnie 2021 مشخص شدند که مهمترین آسیبپذیریها و شکستهای پوچ در زمینه امنیت رایانه را برجسته میکنند. جوایز Pwnie معادل جوایز اسکار و تمشک طلایی در امنیت کامپیوتر در نظر گرفته می شود.
برندگان اصلی (لیست مدعیان):
- آسیب پذیری افزایش امتیاز بهتر. این پیروزی به دلیل شناسایی آسیبپذیری CVE-2021-3156 در ابزار sudo به Qualys اعطا شد، که اجازه به دست آوردن امتیازات ریشه را میدهد. این آسیب پذیری حدود 10 سال است که در کد وجود دارد و به این دلیل قابل توجه است که برای شناسایی آن نیاز به تجزیه و تحلیل کامل منطق ابزار بود.
- بهترین باگ سرور برای شناسایی و بهرهبرداری از پیچیدهترین و جالبترین اشکال فنی در یک سرویس شبکه جایزه دریافت کرد. این پیروزی برای شناسایی یک بردار جدید از حملات در Microsoft Exchange اعطا شد. اطلاعاتی درباره همه آسیبپذیریهای این کلاس منتشر نشده است، اما اطلاعاتی در مورد آسیبپذیری CVE-2021-26855 (ProxyLogon) که امکان استخراج دادهها از یک کاربر دلخواه بدون احراز هویت و CVE-2021-27065 را فراهم میکند، افشا شده است. این امکان وجود دارد که کد خود را روی سروری با حقوق مدیر اجرا کنید.
- بهترین حمله رمزنگاری این جایزه برای شناسایی مهمترین نقصها در سیستمهای واقعی، پروتکلها و الگوریتمهای رمزگذاری دریافت شده است. این جایزه به دلیل آسیبپذیری (CVE-2020-0601) در پیادهسازی امضای دیجیتال منحنی بیضی که میتواند کلیدهای خصوصی را از کلیدهای عمومی تولید کند، به مایکروسافت اعطا شد. این مشکل اجازه ایجاد گواهیهای TLS جعلی برای HTTPS و امضاهای دیجیتال ساختگی را داد که در ویندوز به عنوان قابل اعتماد تأیید شدند.
- نوآورانه ترین تحقیقات این جایزه به محققانی اعطا شد که روش BlindSide را برای دور زدن حفاظت مبتنی بر تصادفی سازی آدرس (ASLR) با استفاده از نشت های کانال جانبی ناشی از اجرای گمانه زنی دستورالعمل ها توسط پردازنده ارائه کردند.
- بزرگترین شکست (Most Epic FAIL). این جایزه به مایکروسافت برای رفع خرابی چندگانه آسیبپذیری PrintNightmare (CVE-2021-34527) در سیستم چاپ ویندوز داده شد که به شما امکان میدهد کد خود را اجرا کنید. در ابتدا، مایکروسافت مشکل را به عنوان محلی علامت گذاری کرد، اما سپس مشخص شد که حمله می تواند از راه دور انجام شود. سپس مایکروسافت چهار بار بهروزرسانیها را منتشر کرد، اما هر بار اصلاح فقط یک مورد خاص را بسته بود و محققان روش جدیدی برای انجام حمله پیدا کردند.
- بهترین اشکال در نرم افزار مشتری. برنده، محققی بود که آسیبپذیری CVE-2020-28341 را در پردازندههای رمزنگاری امن سامسونگ که گواهی امنیتی CC EAL 5+ دریافت کرده بودند، شناسایی کرد. این آسیبپذیری امکان دور زدن کامل حفاظت و دسترسی به کد اجرا شده بر روی تراشه و دادههای ذخیره شده در محفظه، دور زدن قفل محافظ صفحه و همچنین ایجاد تغییراتی در سیستم عامل برای ایجاد یک درپشتی مخفی را ممکن میسازد.
- آسیب پذیری که دست کم گرفته شده است. این جایزه به Qualys برای شناسایی یک سری از آسیبپذیریهای 21Nails در سرور ایمیل Exim داده شد که 10 مورد از آنها میتوانستند از راه دور مورد سوء استفاده قرار گیرند. توسعه دهندگان Exim در مورد امکان بهره برداری از مشکلات شک داشتند و بیش از 6 ماه را صرف ایجاد اصلاحات کردند.
- کمترین واکنش سازنده (Lamest Vendor Response). نامزدی برای نامناسب ترین پاسخ به گزارش آسیب پذیری در محصول خود. برنده Cellebrite بود، شرکتی که برنامه های کاربردی تجزیه و تحلیل پزشکی قانونی و داده کاوی را برای اجرای قانون می سازد. Cellebrite به گزارش آسیبپذیری ارسال شده توسط Moxie Marlinspike، نویسنده پروتکل سیگنال، پاسخ نامناسبی داد. Moxxi پس از یک مقاله رسانه ای در مورد ایجاد فناوری که اجازه هک پیام های سیگنال رمزگذاری شده را می دهد، به Cellebrite علاقه مند شد، که بعداً به دلیل تفسیر نادرست از اطلاعات در مقاله ای در وب سایت Cellebrite جعلی بود، که سپس حذف شد (" حمله» مستلزم دسترسی فیزیکی به تلفن و توانایی باز کردن قفل صفحه بود، یعنی به مشاهده پیامها در پیامرسان کاهش مییابد، اما نه به صورت دستی، بلکه با استفاده از یک برنامه ویژه که اقدامات کاربر را شبیهسازی میکند).
Moxxi برنامههای Cellebrite را مطالعه کرد و آسیبپذیریهای مهمی را در آنجا پیدا کرد که اجازه میداد کد دلخواه هنگام تلاش برای اسکن دادههای طراحیشده خاص اجرا شود. همچنین مشخص شد که برنامه Cellebrite از یک کتابخانه قدیمی ffmpeg استفاده می کند که به مدت 9 سال به روز نشده و حاوی تعداد زیادی آسیب پذیری اصلاح نشده است. Cellebrite به جای اعتراف به مشکلات و رفع مشکلات، بیانیهای صادر کرده است که به یکپارچگی دادههای کاربران اهمیت میدهد، امنیت محصولات خود را در سطح مناسب حفظ میکند، بهروزرسانیهای منظم را منتشر میکند و بهترین برنامههای کاربردی در نوع خود را ارائه میدهد.
- بزرگترین دستاورد. این جایزه به ایلفاک گیلفانوف، نویسنده جداسازکننده IDA و دیکامپایلر Hex-Rays، به دلیل مشارکت در توسعه ابزار برای محققان امنیتی و توانایی او در به روز نگه داشتن محصول به مدت 30 سال اعطا شد.
منبع: opennet.ru