De winners fan 'e jierlikse Pwnie Awards 2021 binne oankundige, en markearje de meast wichtige kwetsberens en absurde mislearrings yn kompjûterfeiligens. Pwnie Awards wurdt beskôge as it ekwivalint fan 'e Oscars en Golden Raspberries op it mêd fan kompjûterfeiligens.
Haadwinners (list mei kandidaten):
- Bêste kwetsberens dy't liedt ta eskalaasje fan privileezjes. De oerwinning waard takend oan Qualys foar it identifisearjen fan de kwetsberens CVE-2021-3156 yn it sudo-hulpprogramma, wêrtroch jo root-privileezjes kinne krije. De kwetsberens wie sawat 10 jier yn 'e koade oanwêzich en is opmerklik om't it identifisearjen fan in yngeande analyze fan' e logika fan it nut nedich is.
- Bêste serverbug. Útrikt foar it identifisearjen en eksploitearjen fan de meast technysk komplekse en nijsgjirrige bug yn in netwurktsjinst. De oerwinning waard útrikt foar it identifisearjen fan in nije fektor fan oanfallen op Microsoft Exchange. Ynformaasje oer net alle kwetsberens fan dizze klasse is publisearre, mar ynformaasje is al bekend makke oer de kwetsberens CVE-2021-26855 (ProxyLogon), wêrtroch jo de gegevens fan in willekeurige brûker sûnder autentikaasje kinne ekstrahearje, en CVE-2021-27065 , wat it mooglik makket om jo koade út te fieren op in server mei administratorrjochten.
- De bêste kryptografyske oanfal. Útrikt foar it identifisearjen fan de wichtichste gatten yn echte systemen, protokollen en fersiferingsalgoritmen. De priis waard takend oan Microsoft foar in kwetsberens (CVE-2020-0601) yn 'e ymplemintaasje fan digitale hantekeningen basearre op elliptyske bochten, wêrtroch privee kaaien kinne generearje op basis fan iepenbiere kaaien. It probleem makke it mooglik foar it meitsjen fan falske TLS-sertifikaten foar HTTPS en fiktive digitale hantekeningen dy't waarden ferifiearre as betrouber troch Windows.
- It meast ynnovative ûndersyk ea. De priis waard útrikt oan ûndersikers dy't de BlindSide-metoade foarstelden om adres-basearre randomisaasje (ASLR) beskerming te omgean mei help fan side-kanaal lekkages dy't resultearre út spekulative prosessor útfiering fan ynstruksjes.
- De grutste mislearring (Meast Epic FAIL). De priis waard takend oan Microsoft foar it werhelle frijlitten fan in brutsen fix foar de PrintNightmare-kwetsberens (CVE-2021-34527) yn it Windows-printsysteem dat koade útfiere koe. Microsoft markearre earst it probleem as lokaal, mar doe die bliken dat de oanfal op ôfstân útfierd wurde koe. Dêrnei publisearre Microsoft fjouwer kear updates, mar elke kear slute de fix allinich in spesjale saak en fûnen de ûndersikers in nije manier om de oanfal út te fieren.
- De bêste bug yn client software. De winner wie de ûndersiker dy't de CVE-2020-28341 kwetsberens identifisearre yn Samsung feilige cryptoprocessors, dy't in CC EAL 5+ befeiligingssertifikaat krige. De kwetsberens makke it mooglik om folslein omgean feiligens en fa tagong ta de koade rint op 'e chip en gegevens opslein yn' e enklave, bypass de skermbefeiliging slot, en ek meitsje feroarings oan de firmware te meitsjen in ferburgen efterdoar.
- De meast ûnderskatte kwetsberens. De priis waard takend oan Qualys foar it identifisearjen fan in searje 21Nails-kwetsberheden yn 'e Exim-posttsjinner, wêrfan 10 op ôfstân kinne wurde eksploitearre. De Exim-ûntwikkelders wiene skeptysk dat de problemen koenen wurde eksploitearre en bestege mear dan 6 moannen oan it ûntwikkeljen fan fixes.
- Lamest Vendor Response. Nominaasje foar de meast ûnfoldwaande reaksje op in berjocht oer in kwetsberens yn jo eigen produkt. De winner wie Cellebrite, in bedriuw dat applikaasjes makket foar forensyske analyze en gegevensekstraksje troch ynstânsjes foar wet hanthavening. Cellebrite reagearre net adekwaat op in kwetsberensrapport stjoerd troch Moxie Marlinspike, de skriuwer fan it Signalprotokol. Moxey waard ynteressearre yn Cellebrite nei de publikaasje yn 'e media fan in notysje oer it meitsjen fan in technology dy't it hackjen fan fersifere sinjaalberjochten mooglik makket, dy't letter in falske bliek te wêzen fanwegen ferkearde ynterpretaasje fan ynformaasje yn in artikel op' e Cellebrite-webside, dy't wie dan fuorthelle ("de oanfal" fereasket fysike tagong ta de telefoan en de mooglikheid om te ferwiderjen it slot skerm, dat wol sizze it waard fermindere ta it besjen fan berjochten yn 'e boadskipper, mar net mei de hân, mar mei help fan in spesjale applikaasje dy't simulearret brûker aksjes).
Moxey studearre Cellebrite-applikaasjes en fûn dêr krityske kwetsberens wêrtroch willekeurige koade koe wurde útfierd by it besykjen fan spesjaal ûntworpen gegevens. De Cellebrite-applikaasje waard ek fûn om in ferâldere ffmpeg-bibleteek te brûken dy't 9 jier net bywurke wie en in grut oantal unpatched kwetsberens befette. Yn stee fan de problemen ta te jaan en de problemen op te lossen, joech Cellebrite in ferklearring út dat it soarget foar de yntegriteit fan brûkersgegevens, behâldt de feiligens fan har produkten op it juste nivo, jout regelmjittich updates út en leveret de bêste applikaasjes fan har soarte.
- De grutste prestaasje. De priis waard takend oan Ilfak Gilfanov, skriuwer fan 'e IDA disassembler en de Hex-Rays decompiler, foar syn bydragen oan 'e ûntwikkeling fan ark foar feiligensûndersikers en syn fermogen om in aktueel produkt foar 30 jier te behâlden.
Boarne: opennet.ru