Meghatározták az éves Pwnie Awards 2021 nyerteseit, kiemelve a legjelentősebb sebezhetőségeket és abszurd hibákat a számítógép-biztonság területén. A Pwnie-díjak számítanak az Oscar-díjjal és az Arany Málnával egyenértékűnek a számítógépes biztonság terén.
A fő nyertesek (a versenyzők listája):
- Jobb jogosultság-kiterjesztési sebezhetőség. A győzelmet a Qualys nyerte, mert azonosította a CVE-2021-3156 biztonsági rést a sudo segédprogramban, amely lehetővé teszi root jogosultságok megszerzését. A sérülékenység körülbelül 10 éve jelen van a kódban, és arról nevezetes, hogy az azonosításhoz a segédprogram logikájának alapos elemzésére volt szükség.
- A legjobb szerverhiba. A hálózati szolgáltatás technikailag legbonyolultabb és legérdekesebb hibájának azonosításáért és kiaknázásáért díjazták. A győzelmet a Microsoft Exchange elleni támadások új vektorának azonosításáért ítélték oda. Nem tettek közzé információkat ennek az osztálynak az összes sebezhetőségéről, de a CVE-2021-26855 (ProxyLogon) sérülékenységről, amely lehetővé teszi az adatok tetszőleges felhasználótól történő hitelesítés nélküli kinyerését, valamint a CVE-2021-27065 sérülékenységről, amely lehetőség van a kód futtatására rendszergazdai jogokkal rendelkező szerveren.
- A legjobb kriptográfiai támadás. A valós rendszerek, protokollok és titkosítási algoritmusok legjelentősebb hibáinak azonosításáért díjazták. A díjat a Microsoft az elliptikus görbületű digitális aláírások megvalósításában észlelt sebezhetőségért (CVE-2020-0601) kapta, amely nyilvános kulcsokból privát kulcsokat generálhat. A probléma lehetővé tette hamis TLS-tanúsítványok létrehozását HTTPS-hez és fiktív digitális aláírásokhoz, amelyeket a Windows megbízhatónak minősített.
- A leginnovatívabb kutatás. A díjat azoknak a kutatóknak ítélték oda, akik a BlindSide módszert javasolták az Address Randomization Based Leverage (ASLR) védelem megkerülésére oldalcsatornás szivárgások felhasználásával, amelyek az utasítások processzor általi spekulatív végrehajtásából erednek.
- A legnagyobb kudarc (Most Epic FAIL). A díjat a Microsoft kapta a Windows nyomtatórendszer PrintNightmare (CVE-2021-34527) biztonsági résének többszöri kiadású megszakadt javításáért, amely lehetővé teszi a kód futtatását. A Microsoft eleinte helyiként jelölte meg a problémát, de aztán kiderült, hogy a támadást távolról is végre lehet hajtani. Ezután a Microsoft négyszer publikált frissítést, de minden alkalommal a javítás csak egy speciális esetet zárt le, és a kutatók új módot találtak a támadás végrehajtására.
- A legjobb hiba az ügyfélszoftverben. A nyertes az a kutató lett, aki azonosította a CVE-2020-28341 biztonsági rést a biztonságos Samsung kriptoprocesszorokban, amelyek CC EAL 5+ biztonsági tanúsítványt kaptak. A sérülékenység lehetővé tette a védelem teljes megkerülését és hozzáférést a chipen végrehajtott kódhoz és az enklávéban tárolt adatokhoz, a képernyőkímélő zárolásának megkerülését, valamint a firmware módosítását egy rejtett hátsó ajtó létrehozásához.
- A leginkább alábecsült sebezhetőség. A díjat a Qualys kapta az Exim levelezőszerveren található 21Nails biztonsági rések sorozatának azonosításáért, amelyek közül 10 távolról is kihasználható. Az Exim fejlesztői szkeptikusak voltak a problémák kihasználásának lehetőségével kapcsolatban, és több mint 6 hónapot töltöttek a javítások fejlesztésével.
- A gyártó leggyengébb reakciója (Lamest Vendor Response). Jelölés a saját termék sérülékenységi jelentésére adott leginkább nem megfelelő válaszért. A győztes a Cellebrite, a bűnüldöző szervek számára kriminalisztikai elemző és adatbányászati alkalmazásokat készítő cég lett. A Cellebrite nem megfelelően reagált Moxie Marlinspike, a Signal protokoll szerzője által közzétett sebezhetőségi jelentésre. Moxxi azután kezdett érdeklődni a Cellebrite iránt, miután egy médiacikk egy olyan technológia létrehozásáról szólt, amely lehetővé teszi a titkosított Signal üzenetek feltörését, amelyről később kiderült, hogy hamisítvány a Cellebrite webhelyén található cikk információinak félreértelmezése miatt, majd eltávolították (“ a támadás” fizikai hozzáférést igényelt a telefonhoz és a képernyő feloldásának képességét, azaz az üzenetek megtekintését a messengerben, de nem manuálisan, hanem egy speciális alkalmazás segítségével, amely szimulálja a felhasználói műveleteket).
A Moxxi a Cellebrite alkalmazásokat tanulmányozta, és olyan kritikus sérülékenységeket talált ott, amelyek lehetővé tették, hogy tetszőleges kódot hajtsanak végre a speciálisan tervezett adatok vizsgálatakor. A Cellebrite alkalmazásról is kiderült, hogy egy elavult ffmpeg könyvtárat használ, amelyet 9 éve nem frissítettek, és nagyszámú javítatlan sebezhetőséget tartalmaz. A problémák elismerése és a problémák kijavítása helyett a Cellebrite közleményt adott ki, hogy törődik a felhasználói adatok sértetlenségével, megfelelő szinten tartja termékei biztonságát, rendszeres frissítéseket ad ki, és a maga nemében a legjobb alkalmazásokat szállítja.
- A legnagyobb eredmény. A díjat Ilfak Gilfanov, az IDA disassembler és a Hex-Rays decompiler szerzője kapta, a biztonságkutatók eszközeinek fejlesztésében való közreműködéséért és a termék 30 éven keresztüli naprakészen tartásáért.
Forrás: opennet.ru