Sigurvegarar árlegu Pwnie verðlaunanna 2021 hafa verið ákveðnir og varpa ljósi á mikilvægustu veikleikana og fáránlegar bilanir á sviði tölvuöryggis. Pwnie-verðlaunin eru talin jafngilda Óskarsverðlaununum og Gullna hindberjunum í tölvuöryggi.
Helstu sigurvegarar (listi yfir keppendur):
- Betri varnarleysi til að auka forréttindi. Sigurinn hlaut Qualys fyrir að bera kennsl á varnarleysið CVE-2021-3156 í sudo tólinu, sem gerir kleift að fá rótarréttindi. Varnarleysið hefur verið til staðar í kóðanum í um 10 ár og er áberandi fyrir þá staðreynd að ítarlega greiningu á rökfræði veitunnar þurfti til að bera kennsl á það.
- Besta netþjónavilla. Veitt fyrir að bera kennsl á og nýta tæknilega flóknustu og áhugaverðustu villuna í sérþjónustu. Sigurinn var veittur fyrir að bera kennsl á nýjan vektor árása á Microsoft Exchange. Upplýsingar um ekki alla veikleika þessa flokks hafa verið birtar, en upplýsingar hafa þegar verið birtar um varnarleysið CVE-2021-26855 (ProxyLogon), sem gerir kleift að draga gögn úr handahófskenndum notanda án auðkenningar, og CVE-2021-27065, sem gerir það er hægt að keyra kóðann þinn á netþjóni með stjórnandaréttindi.
- Besta dulmálsárásin. Veitt fyrir að bera kennsl á mikilvægustu gallana í raunverulegum kerfum, samskiptareglum og dulkóðunaralgrímum. Verðlaunin voru veitt Microsoft fyrir varnarleysi (CVE-2020-0601) við innleiðingu á sporöskjulaga ferju stafrænum undirskriftum sem gætu búið til einkalykla úr opinberum lyklum. Vandamálið gerði kleift að búa til fölsuð TLS vottorð fyrir HTTPS og gervi stafrænar undirskriftir, sem voru staðfest í Windows sem áreiðanlegar.
- Nýstárlegustu rannsóknir. Verðlaunin voru veitt vísindamönnum sem lögðu til BlindSide aðferðina til að komast framhjá slembivalsbundinni (ASLR) vernd með því að nota hliðarrásarleka sem stafar af íhugandi framkvæmd leiðbeininga örgjörvans.
- Stærsta bilunin (Most Epic FAIL). Verðlaunin voru veitt Microsoft fyrir margbrotna lagfæringu á PrintNightmare (CVE-2021-34527) varnarleysi í Windows prentkerfi sem gerir þér kleift að keyra kóðann þinn. Í fyrstu tilkynnti Microsoft vandamálið sem staðbundið en síðan kom í ljós að hægt var að framkvæma árásina í fjarska. Síðan birti Microsoft uppfærslur fjórum sinnum, en í hvert sinn sem lagfæringin lokaði aðeins sérstöku tilviki og rannsakendur fundu nýja leið til að framkvæma árásina.
- Besta villan í biðlarahugbúnaði. Sigurvegarinn var rannsakandinn sem greindi CVE-2020-28341 varnarleysið í öruggum Samsung dulritunarörgjörvum sem fengu CC EAL 5+ öryggisvottorð. Varnarleysið gerði það að verkum að hægt var að komast algjörlega framhjá verndinni og fá aðgang að kóðanum sem keyrður er á flísinni og gögnum sem geymd eru í enclave, framhjá lás skjávarans og einnig gera breytingar á fastbúnaðinum til að búa til falinn bakdyr.
- Vanmetnasta varnarleysið. Verðlaunin voru veitt Qualys fyrir að bera kennsl á röð 21Nails varnarleysis á Exim póstþjóninum, þar af 10 sem hægt var að nýta fjarstýrt. Exim verktaki var efins um möguleikann á að nýta vandamálin og eyddu meira en 6 mánuðum í að þróa lagfæringar.
- Trausta viðbrögð framleiðanda (Lamest Vendor Response). Tilnefning fyrir óviðeigandi viðbrögð við veikleikaskýrslu í eigin vöru. Sigurvegarinn var Cellebrite, fyrirtæki sem smíðar réttar greiningar og gagnavinnsluforrit fyrir löggæslu. Cellebrite brást óviðeigandi við veikleikaskýrslu sem Moxie Marlinspike, höfundur Signal-samskiptareglunnar, birti. Moxxi fékk áhuga á Cellebrite eftir fjölmiðlagrein um sköpun tækni sem gerir kleift að hakka dulkóðuð Merkjaskilaboð, sem síðar reyndust vera fölsun vegna rangtúlkunar upplýsinga í grein á vefsíðu Cellebrite, sem síðan var fjarlægð (“ árásin“ krafðist líkamlegs aðgangs að símanum og getu til að opna skjáinn, þ.e. minnkað til að skoða skilaboð í boðberanum, en ekki handvirkt, heldur með sérstöku forriti sem líkir eftir aðgerðum notenda).
Moxxi rannsakaði Cellebrite forrit og fann þar mikilvæga veikleika sem gerðu kleift að keyra handahófskenndan kóða þegar reynt var að skanna sérhönnuð gögn. Cellebrite forritið reyndist einnig nota úrelt ffmpeg bókasafn sem hefur ekki verið uppfært í 9 ár og inniheldur mikinn fjölda óuppfærða veikleika. Í stað þess að viðurkenna vandamálin og laga vandamálin hefur Cellebrite gefið út yfirlýsingu um að það sé annt um heiðarleika notendagagna, viðhalda öryggi vara sinna á réttu stigi, gefa út reglulegar uppfærslur og skila bestu forritum sinnar tegundar.
- Stærsta afrekið. Verðlaunin voru veitt til Ilfak Gilfanov, höfundar IDA disassembler og Hex-Rays decompiler, fyrir framlag sitt til þróunar verkfæra fyrir öryggisrannsakendur og getu hans til að halda vörunni uppfærðri í 30 ár.
Heimild: opennet.ru