Coñeceron os gañadores dos premios Pwnie 2021 anuais, destacando as vulnerabilidades máis importantes e as fallas absurdas na seguridade informática. Os premios Pwnie considéranse o equivalente aos Oscar e aos Golden Raspberries no campo da seguridade informática.
Principais gañadores (lista de competidores):
- Mellor vulnerabilidade que leva á escalada de privilexios. A vitoria foi concedida a Qualys por identificar a vulnerabilidade CVE-2021-3156 na utilidade sudo, que lle permite obter privilexios de root. A vulnerabilidade estivo presente no código durante uns 10 anos e é salientable porque para identificala requiriu unha análise exhaustiva da lóxica da utilidade.
- Mellor erro do servidor. Concedido por identificar e explotar o erro tecnicamente máis complexo e interesante nun servizo de rede. A vitoria foi concedida por identificar un novo vector de ataque en Microsoft Exchange. Non se publicou información sobre todas as vulnerabilidades desta clase, pero xa se revelou información sobre a vulnerabilidade CVE-2021-26855 (ProxyLogon), que permite extraer os datos dun usuario arbitrario sen autenticación, e CVE-2021-27065 , o que permite executar o teu código nun servidor con dereitos de administrador.
- O mellor ataque criptográfico. Concedido por identificar as lagoas máis significativas en sistemas reais, protocolos e algoritmos de cifrado. O galardón foi concedido a Microsoft por unha vulnerabilidade (CVE-2020-0601) na implantación de sinaturas dixitais baseadas en curvas elípticas, que permite xerar claves privadas a partir de claves públicas. O problema permitiu a creación de certificados TLS falsos para HTTPS e sinaturas dixitais ficticias que Windows comprobou que eran fiables.
- A investigación máis innovadora de sempre. O premio foi concedido a investigadores que propuxeron o método BlindSide para evitar a protección de aleatorización baseada en enderezos (ASLR) mediante filtracións de canles laterales derivadas da execución especulativa de instrucións do procesador.
- O maior fracaso (Most Epic FAIL). O premio foi concedido a Microsoft por lanzar repetidamente unha solución averiada para a vulnerabilidade PrintNightmare (CVE-2021-34527) no sistema de impresión de Windows que permitiu a execución de código. Microsoft inicialmente marcou o problema como local, pero despois resultou que o ataque podería levarse a cabo de forma remota. Entón Microsoft publicou actualizacións catro veces, pero cada vez a corrección só pechou un caso especial e os investigadores atoparon unha nova forma de levar a cabo o ataque.
- O mellor erro no software cliente. O gañador foi o investigador que identificou a vulnerabilidade CVE-2020-28341 nos criptoprocesadores seguros de Samsung, que recibiu un certificado de seguridade CC EAL 5+. A vulnerabilidade permitiu evitar por completo a seguridade e acceder ao código que se executa no chip e aos datos almacenados no enclave, evitar o bloqueo do protector de pantalla e tamén facer cambios no firmware para crear unha porta traseira oculta.
- A vulnerabilidade máis subestimada. O premio foi concedido a Qualys por identificar unha serie de vulnerabilidades de 21Nails no servidor de correo Exim, 10 das cales poden ser explotadas de forma remota. Os desenvolvedores de Exim eran escépticos de que os problemas puidesen ser explotados e pasaron máis de 6 meses desenvolvendo correccións.
- Resposta do vendedor máis coxo. Nomeamento para a resposta máis inadecuada a unha mensaxe sobre unha vulnerabilidade no seu propio produto. A gañadora foi Cellebrite, unha empresa que crea aplicacións para análises forenses e extracción de datos por parte das forzas da orde. Cellebrite non respondeu adecuadamente a un informe de vulnerabilidade enviado por Moxie Marlinspike, a autora do protocolo Signal. Moxey interesouse por Cellebrite tras a publicación nos medios dunha nota sobre a creación dunha tecnoloxía que permite piratear as mensaxes cifradas de Signal, que máis tarde resultou ser unha falsificación debido á mala interpretación da información nun artigo da web de Cellebrite, que foi despois eliminouse (“o ataque” requiría acceso físico ao teléfono e a posibilidade de eliminar a pantalla de bloqueo, é dicir, reducíase a ver as mensaxes no messenger, pero non manualmente, senón mediante unha aplicación especial que simula as accións do usuario).
Moxey estudou as aplicacións Cellebrite e atopou alí vulnerabilidades críticas que permitían executar código arbitrario ao tentar escanear datos especialmente deseñados. Tamén se comprobou que a aplicación Cellebrite usaba unha biblioteca ffmpeg obsoleta que levaba 9 anos sen actualizar e que contiña un gran número de vulnerabilidades sen parchear. En lugar de admitir os problemas e solucionar os problemas, Cellebrite emitiu unha declaración en que se preocupa pola integridade dos datos dos usuarios, mantén a seguridade dos seus produtos ao nivel adecuado, publica actualizacións regularmente e ofrece as mellores aplicacións deste tipo.
- O maior logro. O premio foi concedido a Ilfak Gilfanov, autor do desensamblador IDA e do descompilador Hex-Rays, polas súas contribucións ao desenvolvemento de ferramentas para investigadores de seguridade e a súa capacidade para manter un produto actualizado durante 30 anos.
Fonte: opennet.ru