Vuosittaisen Pwnie Awards 2021 -palkinnon voittajat on julkistettu, ja ne nostavat esiin tietoturvan merkittävimmät haavoittuvuudet ja absurdit epäonnistumiset. Pwnie Awards -palkintoja pidetään tietoturva-alan Oscar- ja Golden Raspberry -palkintojen vastineena.
Päävoittajat (ehdokkaiden luettelo):
- Paras haavoittuvuus, joka johtaa oikeuksien eskaloitumiseen. Voitto myönnettiin Qualysille haavoittuvuuden CVE-2021-3156 tunnistamisesta sudo-apuohjelmassa, jonka avulla voit saada pääkäyttäjän oikeudet. Haavoittuvuus oli koodissa noin 10 vuotta ja on huomionarvoinen siinä mielessä, että sen tunnistaminen vaati apuohjelman logiikan perusteellisen analyysin.
- Paras palvelinvirhe. Myönnetty verkkopalvelun teknisesti monimutkaisimman ja mielenkiintoisimman vian tunnistamisesta ja hyödyntämisestä. Voitto myönnettiin uuden hyökkäysvektorin tunnistamisesta Microsoft Exchangessa. Tietoa kaikista tämän luokan haavoittuvuuksista ei ole julkaistu, mutta haavoittuvuudesta CVE-2021-26855 (ProxyLogon), jonka avulla voit purkaa mielivaltaisen käyttäjän tiedot ilman todennusta, ja CVE-2021-27065 on jo julkaistu tietoa. , joka mahdollistaa koodin suorittamisen palvelimella, jolla on järjestelmänvalvojan oikeudet.
- Paras kryptografinen hyökkäys. Palkinto todellisten järjestelmien, protokollien ja salausalgoritmien merkittävimpien aukkojen tunnistamisesta. Palkinto myönnettiin Microsoftille haavoittuvuudesta (CVE-2020-0601) elliptisiin käyriin perustuvien digitaalisten allekirjoitusten toteuttamisessa, mikä mahdollistaa yksityisten avainten generoinnin julkisten avainten perusteella. Ongelma mahdollisti väärennettyjen TLS-sertifikaattien luomisen HTTPS:lle ja kuvitteellisille digitaalisille allekirjoituksille, jotka Windows oli vahvistanut luotettaviksi.
- Kaikkien aikojen innovatiivisin tutkimus. Palkinto myönnettiin tutkijoille, jotka ehdottivat BlindSide-menetelmää osoitepohjaisen satunnaistuksen (ASLR) ohittamiseksi käyttämällä sivukanavavuotoja, jotka johtuvat spekulatiivisesta prosessorin käskyjen suorittamisesta.
- Suurin epäonnistuminen (Most Epic FAIL). Palkinto myönnettiin Microsoftille, koska se julkaisi toistuvasti Windows-tulostusjärjestelmän PrintNightmare-haavoittuvuuden (CVE-2021-34527) rikkinäisen korjauksen, joka mahdollisti koodin suorittamisen. Microsoft ilmoitti aluksi ongelman paikalliseksi, mutta sitten kävi ilmi, että hyökkäys voitiin suorittaa etänä. Sitten Microsoft julkaisi päivitykset neljä kertaa, mutta joka kerta korjaus sulki vain erikoistapauksen ja tutkijat löysivät uuden tavan hyökkäyksen toteuttamiseen.
- Asiakasohjelmiston paras bugi. Voittaja oli tutkija, joka tunnisti CVE-2020-28341-haavoittuvuuden Samsungin suojatuissa kryptoprosessoreissa, jotka saivat CC EAL 5+ -turvasertifikaatin. Haavoittuvuus mahdollisti täysin suojauksen ohituksen ja pääsyn sirulla olevaan koodiin ja erillisalueeseen tallennettuihin tietoihin, ohittaa näytönsäästäjän lukon ja myös tehdä muutoksia laiteohjelmistoon piilotetun takaoven luomiseksi.
- Kaikkein aliarvioitu haavoittuvuus. Palkinto myönnettiin Qualysille 21Nails-haavoittuvuuksien sarjan tunnistamisesta Exim-postipalvelimessa, joista 10:tä voidaan hyödyntää etänä. Exim-kehittäjät epäilivät, että ongelmia voitaisiin hyödyntää, ja he käyttivät yli 6 kuukautta korjausten kehittämiseen.
- Huonoin myyjän vastaus. Nimitys riittämättömästä vastauksesta oman tuotteesi haavoittuvuutta koskevaan viestiin. Voittaja oli Cellebrite, yritys, joka luo sovelluksia lainvalvontaviranomaisten rikostekniseen analysointiin ja tietojen poimimiseen. Cellebrite ei vastannut riittävästi signaaliprotokollan kirjoittajan Moxie Marlinspiken lähettämään haavoittuvuusraporttiin. Moxey kiinnostui Cellebritesta sen jälkeen, kun tiedotusvälineissä julkaistiin muistiinpano salattujen signaaliviestien hakkeroinnin mahdollistavan tekniikan luomisesta, joka myöhemmin osoittautui väärennökseksi Cellebrite-verkkosivustolla julkaistun artikkelin tietojen väärintulkinnan vuoksi. sitten poistettiin ("hyökkäys" vaati fyysistä pääsyä puhelimeen ja kykyä poistaa lukitusnäyttö, eli se rajoittui viestien katseluun messengerissä, mutta ei manuaalisesti, vaan erityisellä sovelluksella, joka simuloi käyttäjän toimia).
Moxey tutki Cellebrite-sovelluksia ja löysi niistä kriittisiä haavoittuvuuksia, jotka mahdollistivat mielivaltaisen koodin suorittamisen, kun yritettiin skannata erityisesti suunniteltuja tietoja. Cellebrite-sovelluksen havaittiin myös käyttävän vanhentunutta ffmpeg-kirjastoa, jota ei ollut päivitetty 9 vuoteen ja joka sisälsi suuren määrän korjaamattomia haavoittuvuuksia. Sen sijaan, että olisi myöntänyt ongelmia ja korjannut ne, Cellebrite ilmoitti, että se välittää käyttäjätietojen eheydestä, ylläpitää tuotteidensa tietoturvaa oikealla tasolla, julkaisee säännöllisesti päivityksiä ja toimittaa laatuaan parhaat sovellukset.
- Suurin saavutus. Palkinto myönnettiin Ilfak Gilfanoville, IDA-disassemblerin ja Hex-Rays-kääntäjän kirjoittajalle, hänen panoksestaan tietoturvatutkijoille tarkoitettujen työkalujen kehittämisessä ja hänen kyvystään ylläpitää ajan tasalla olevaa tuotetta 30 vuoden ajan.
Lähde: opennet.ru