Coñeceron os gañadores dos premios Pwnie 2021 anuais, destacando as vulnerabilidades máis importantes e as fallas absurdas na seguridade informática. Os premios Pwnie considéranse o equivalente aos Oscar e aos Golden Raspberries no campo da seguridade informática.
Principais gañadores (lista de competidores):
- Mellor vulnerabilidade que leva á escalada de privilexios. A vitoria foi concedida a Qualys por identificar a vulnerabilidade CVE-2021-3156 na utilidade sudo, que lle permite obter privilexios de root. A vulnerabilidade estivo presente no código durante uns 10 anos e é salientable porque para identificala requiriu unha análise exhaustiva da lóxica da utilidade.
- Mellor erro de servidor. Premiado por identificar e explotar o erro tecnicamente máis complexo e interesante nun servizo de rede. O premio foi outorgado por identificar un novo vector de ataque en Microsoft Exchange. Non se publicaron todas as vulnerabilidades desta clase, pero xa se revelou información sobre CVE-2021-26855 (ProxyLogon), que permite a extracción de datos de usuario arbitrarios sen autenticación, e CVE-2021-27065, que permite a execución de código personalizado. servidor con dereitos de administrador.
- Лучшая криптографическая атака. Присуждается за выявление наиболее значимых брешей в реальных системах, протоколах и алгоритмах шифрования. Премия присуждена компании Microsoft за уязвимость (CVE-2020-0601) в реализации цифровых подписей на основе эллиптических кривых, позволяющую сгенерировать закрытые ключи на основе открытых ключей. Проблема позволяла создать поддельные TLS-сертификаты для HTTPS и фиктивные цифровые подписи, которые верифицировались в Windows как заслуживающие доверия.
- A investigación máis innovadora de sempre. O premio foi concedido a investigadores que propuxeron o método BlindSide para evitar a protección de aleatorización baseada en enderezos (ASLR) mediante filtracións de canles laterales derivadas da execución especulativa de instrucións do procesador.
- Самый большой провал (Most Epic FAIL). Премия присуждена компании Microsoft за многократно выпущенное неработающее исправление уязвимости PrintNightmare (CVE-2021-34527) в системе вывода на печать Windows, позволяющей выполнить свой код. Вначале компания Microsoft пометила проблему как локальную, но затем выяснилось, что атака может быть совершена удалённо. Затем Microsoft четыре раза публиковала обновления, но каждый раз исправление закрывало лишь частный случай и исследователи находили новый способ совершения атаки.
- O mellor erro no software cliente. O gañador foi o investigador que identificou a vulnerabilidade CVE-2020-28341 nos criptoprocesadores seguros de Samsung, que recibiu un certificado de seguridade CC EAL 5+. A vulnerabilidade permitiu evitar por completo a seguridade e acceder ao código que se executa no chip e aos datos almacenados no enclave, evitar o bloqueo do protector de pantalla e tamén facer cambios no firmware para crear unha porta traseira oculta.
- Premio á vulnerabilidade máis subestimada: Qualys foi galardoado por descubrir a serie de vulnerabilidades 21Nails no correo electrónico. servidor Exim, 10 dos cales poden ser explotados remotamente. Os desenvolvedores de Exim mostráronse escépticos sobre a posibilidade de explotación e pasaron máis de seis meses desenvolvendo correccións.
- Resposta do vendedor máis coxo. Nomeamento para a resposta máis inadecuada a unha mensaxe sobre unha vulnerabilidade no seu propio produto. A gañadora foi Cellebrite, unha empresa que crea aplicacións para análises forenses e extracción de datos por parte das forzas da orde. Cellebrite non respondeu adecuadamente a un informe de vulnerabilidade enviado por Moxie Marlinspike, a autora do protocolo Signal. Moxey interesouse por Cellebrite tras a publicación nos medios dunha nota sobre a creación dunha tecnoloxía que permite piratear as mensaxes cifradas de Signal, que máis tarde resultou ser unha falsificación debido á mala interpretación da información nun artigo da web de Cellebrite, que foi despois eliminouse (“o ataque” requiría acceso físico ao teléfono e a posibilidade de eliminar a pantalla de bloqueo, é dicir, reducíase a ver as mensaxes no messenger, pero non manualmente, senón mediante unha aplicación especial que simula as accións do usuario).
Moxey estudou as aplicacións Cellebrite e atopou alí vulnerabilidades críticas que permitían executar código arbitrario ao tentar escanear datos especialmente deseñados. Tamén se comprobou que a aplicación Cellebrite usaba unha biblioteca ffmpeg obsoleta que levaba 9 anos sen actualizar e que contiña un gran número de vulnerabilidades sen parchear. En lugar de admitir os problemas e solucionar os problemas, Cellebrite emitiu unha declaración en que se preocupa pola integridade dos datos dos usuarios, mantén a seguridade dos seus produtos ao nivel adecuado, publica actualizacións regularmente e ofrece as mellores aplicacións deste tipo.
- O maior logro. O premio foi concedido a Ilfak Gilfanov, autor do desensamblador IDA e do descompilador Hex-Rays, polas súas contribucións ao desenvolvemento de ferramentas para investigadores de seguridade e a súa capacidade para manter un produto actualizado durante 30 anos.
Fonte: opennet.ru
