Les gagnants des Pwnie Awards 2021 annuels ont été déterminés, mettant en évidence les vulnérabilités les plus importantes et les échecs absurdes dans le domaine de la sécurité informatique. Les Pwnie Awards sont considérés comme l'équivalent des Oscars et du Golden Raspberry en matière de sécurité informatique.
Principaux gagnants (liste des prétendants) :
- Meilleure vulnérabilité d'escalade de privilèges. La victoire a été attribuée à Qualys pour avoir identifié la vulnérabilité CVE-2021-3156 dans l'utilitaire sudo, qui permet d'obtenir les privilèges root. La vulnérabilité est présente dans le code depuis environ 10 ans et se distingue par le fait qu'une analyse approfondie de la logique de l'utilitaire a été nécessaire pour l'identifier.
- Meilleur bogue de serveur. Décerné pour avoir identifié et exploité le bogue le plus techniquement complexe et le plus intéressant dans un service réseau. La victoire a été décernée pour avoir identifié un nouveau vecteur d'attaques sur Microsoft Exchange. Des informations sur toutes les vulnérabilités de cette classe n'ont pas été publiées, mais des informations ont déjà été divulguées sur la vulnérabilité CVE-2021-26855 (ProxyLogon), qui permet d'extraire des données d'un utilisateur arbitraire sans authentification, et CVE-2021-27065, qui rend il est possible d'exécuter votre code sur un serveur avec des droits d'administrateur.
- La meilleure attaque cryptographique. Décerné pour avoir identifié les failles les plus importantes dans les systèmes, protocoles et algorithmes de chiffrement réels. Le prix a été décerné à Microsoft pour une vulnérabilité (CVE-2020-0601) dans la mise en œuvre de signatures numériques à courbe elliptique pouvant générer des clés privées à partir de clés publiques. Le problème a permis la création de faux certificats TLS pour HTTPS et de signatures numériques fictives, qui ont été vérifiées dans Windows comme dignes de confiance.
- La recherche la plus innovante. Le prix a été décerné aux chercheurs qui ont proposé la méthode BlindSide pour contourner la protection ASLR (Address Randomization Based Leverage) en utilisant des fuites de canal latéral résultant de l'exécution spéculative d'instructions par le processeur.
- Le plus gros échec (Most Epic FAIL). Le prix a été décerné à Microsoft pour le correctif cassé à plusieurs versions de la vulnérabilité PrintNightmare (CVE-2021-34527) dans le système d'impression Windows qui vous permet d'exécuter votre code. Au début, Microsoft a signalé le problème comme local, mais il s'est ensuite avéré que l'attaque pouvait être effectuée à distance. Ensuite, Microsoft a publié des mises à jour quatre fois, mais à chaque fois, le correctif ne fermait qu'un cas particulier, et les chercheurs ont trouvé une nouvelle façon de mener l'attaque.
- Meilleur bogue dans le logiciel client. Le gagnant est le chercheur qui a identifié la vulnérabilité CVE-2020-28341 dans les processeurs de chiffrement Samsung sécurisés qui ont reçu un certificat de sécurité CC EAL 5+. La vulnérabilité a permis de contourner complètement la protection et d'accéder au code exécuté sur la puce et aux données stockées dans l'enclave, de contourner le verrouillage de l'économiseur d'écran et également d'apporter des modifications au micrologiciel pour créer une porte dérobée cachée.
- La vulnérabilité la plus sous-estimée. Le prix a été décerné à Qualys pour avoir identifié une série de vulnérabilités 21Nails dans le serveur de messagerie Exim, dont 10 pourraient être exploitées à distance. Les développeurs d'Exim étaient sceptiques quant à la possibilité d'exploiter les problèmes et ont passé plus de 6 mois à développer des correctifs.
- La réaction la plus lamentable du constructeur (Lamest Vendor Response). Nomination pour la réponse la plus inappropriée à un rapport de vulnérabilité dans son propre produit. Le gagnant était Cellebrite, une entreprise qui développe des applications d'analyse médico-légale et d'exploration de données pour les forces de l'ordre. Cellebrite a répondu de manière inappropriée à un rapport de vulnérabilité publié par Moxie Marlinspike, auteur du protocole Signal. Moxxi s'est intéressé à Cellebrite après un article de presse sur la création d'une technologie permettant de pirater des messages Signal cryptés, qui s'est avéré plus tard être un faux en raison d'une mauvaise interprétation d'informations dans un article sur le site Web de Cellebrite, qui a ensuite été supprimé (" l'attaque "nécessitait un accès physique au téléphone et la possibilité de déverrouiller l'écran, c'est-à-dire réduit à afficher les messages dans le messager, mais pas manuellement, mais à l'aide d'une application spéciale qui simule les actions de l'utilisateur).
Moxxi a étudié les applications Cellebrite et y a trouvé des vulnérabilités critiques qui permettaient l'exécution de code arbitraire lors de la tentative d'analyse de données spécialement conçues. L'application Cellebrite s'est également avérée utiliser une bibliothèque ffmpeg obsolète qui n'a pas été mise à jour depuis 9 ans et contient un grand nombre de vulnérabilités non corrigées. Au lieu de reconnaître les problèmes et de les résoudre, Cellebrite a publié une déclaration selon laquelle elle se soucie de l'intégrité des données des utilisateurs, maintient la sécurité de ses produits au niveau approprié, publie des mises à jour régulières et fournit les meilleures applications de ce type.
- La plus grande réussite. Le prix a été décerné à Ilfak Gilfanov, auteur du désassembleur IDA et du décompilateur Hex-Rays, pour sa contribution au développement d'outils pour les chercheurs en sécurité et sa capacité à maintenir le produit à jour pendant 30 ans.
Source: opennet.ru