Određeni su pobjednici godišnjih Pwnie Awards 2021, koji ističu najznačajnije ranjivosti i apsurdne propuste u području računalne sigurnosti. Nagrade Pwnie smatraju se ekvivalentom Oscara i Zlatne maline u računalnoj sigurnosti.
Glavni pobjednici (popis natjecatelja):
- Ranjivost bolje eskalacije privilegija. Pobjeda je dodijeljena Qualysu za identificiranje ranjivosti CVE-2021-3156 u uslužnom programu sudo, koji omogućuje dobivanje root privilegija. Ranjivost je prisutna u kodu oko 10 godina i poznata je po tome što je bila potrebna temeljita analiza logike uslužnog programa da bi se identificirala.
- Najbolja serverska greška. Nagrađena za identificiranje i iskorištavanje tehnički najsloženije i najzanimljivije greške u mrežnoj usluzi. Nagrada je dodijeljena za identificiranje novog vektora napada na Microsoft Exchange. Nisu objavljene sve ranjivosti u ovoj klasi, ali informacije su već otkrivene o CVE-2021-26855 (ProxyLogon), koja omogućuje izdvajanje proizvoljnih korisničkih podataka bez autentifikacije, i CVE-2021-27065, koja omogućuje izvršavanje prilagođenog koda. poslužitelja s administratorskim pravima.
- Лучшая криптографическая атака. Присуждается за выявление наиболее значимых брешей в реальных системах, протоколах и алгоритмах шифрования. Премия присуждена компании Microsoft за уязвимость (CVE-2020-0601) в реализации цифровых подписей на основе эллиптических кривых, позволяющую сгенерировать закрытые ключи на основе открытых ключей. Проблема позволяла создать поддельные TLS-сертификаты для HTTPS и фиктивные цифровые подписи, которые верифицировались в Windows как заслуживающие доверия.
- Najinovativnije istraživanje. Nagrada je dodijeljena istraživačima koji su predložili metodu BlindSide za zaobilaženje zaštite temeljene na nasumičnim odabirom adresa (ASLR) korištenjem curenja s bočnih kanala koja proizlaze iz spekulativnog izvršavanja instrukcija od strane procesora.
- Самый большой провал (Most Epic FAIL). Премия присуждена компании Microsoft за многократно выпущенное неработающее исправление уязвимости PrintNightmare (CVE-2021-34527) в системе вывода на печать Windows, позволяющей выполнить свой код. Вначале компания Microsoft пометила проблему как локальную, но затем выяснилось, что атака может быть совершена удалённо. Затем Microsoft четыре раза публиковала обновления, но каждый раз исправление закрывало лишь частный случай и исследователи находили новый способ совершения атаки.
- Najbolji bug u klijentskom softveru. Pobjednik je bio istraživač koji je identificirao ranjivost CVE-2020-28341 u sigurnim Samsung kripto procesorima koji su dobili CC EAL 5+ sigurnosni certifikat. Ranjivost je omogućila potpuno zaobilaženje zaštite i dobivanje pristupa kodu koji se izvodi na čipu i podacima pohranjenim u enklavi, zaobilaženje zaključavanja čuvara zaslona, a također i izmjene firmvera za stvaranje skrivenih stražnjih vrata.
- Nagrada za najpodcijenjeniju ranjivost: Qualys je nagrađen za otkrivanje serije ranjivosti 21Nails u e-pošti. poslužitelja Exim, od kojih se 10 može iskoristiti na daljinu. Programeri Exima bili su skeptični prema mogućnosti iskorištavanja i proveli su više od šest mjeseci razvijajući rješenja.
- Najlamernija reakcija proizvođača (Lamest Vendor Response). Nominacija za najneprimjereniji odgovor na prijavu ranjivosti u vlastitom proizvodu. Pobjednik je bio Cellebrite, tvrtka koja izrađuje aplikacije za forenzičku analizu i rudarenje podataka za provedbu zakona. Cellebrite je neprimjereno odgovorio na izvješće o ranjivosti koje je objavio Moxie Marlinspike, autor protokola Signal. Moxxi se zainteresirao za Cellebrite nakon medijskog teksta o stvaranju tehnologije koja omogućuje hakiranje šifriranih Signal poruka, za koji se kasnije pokazalo da je lažan zbog krive interpretacije informacija u članku na web stranici Cellebritea, koji je potom uklonjen (“ napad” zahtijeva fizički pristup telefonu i mogućnost otključavanja zaslona, odnosno svedeno na pregledavanje poruka u messengeru, ali ne ručno, već pomoću posebne aplikacije koja simulira radnje korisnika).
Moxxi je proučavao aplikacije Cellebritea i tamo pronašao kritične ranjivosti koje su dopuštale izvršavanje proizvoljnog koda pri pokušaju skeniranja posebno dizajniranih podataka. Također je otkriveno da aplikacija Cellebrite koristi zastarjelu ffmpeg biblioteku koja nije ažurirana 9 godina i sadrži veliki broj nezakrpanih ranjivosti. Umjesto priznavanja problema i rješavanja problema, Cellebrite je izdao izjavu da brine o integritetu korisničkih podataka, održava sigurnost svojih proizvoda na odgovarajućoj razini, izdaje redovita ažuriranja i isporučuje najbolje aplikacije svoje vrste.
- Najveće postignuće. Nagrada je dodijeljena Ilfaku Gilfanovu, autoru IDA disassemblera i Hex-Rays decompilera, za njegov doprinos razvoju alata za sigurnosne istraživače i njegovu sposobnost da proizvod održava ažuriranim 30 godina.
Izvor: opennet.ru
