Sono stati annunciati i vincitori degli annuali Pwnie Awards 2021, che hanno evidenziato le vulnerabilità più significative e gli assurdi fallimenti nella sicurezza informatica. I Pwnie Awards sono considerati l'equivalente degli Oscar e dei Golden Raspberries nel campo della sicurezza informatica.
Vincitori principali (elenco dei contendenti):
- La migliore vulnerabilità che porta all'escalation dei privilegi. La vittoria è stata assegnata a Qualys per aver identificato la vulnerabilità CVE-2021-3156 nell'utility sudo, che consente di ottenere i privilegi di root. La vulnerabilità era presente nel codice da circa 10 anni ed è degna di nota in quanto per identificarla è stata necessaria un'analisi approfondita della logica dell'utilità.
- Il miglior bug del server. Premiato per aver identificato e sfruttato il bug tecnicamente più complesso e interessante in un servizio di rete. La vittoria è stata assegnata per aver identificato un nuovo vettore di attacchi su Microsoft Exchange. Non sono state pubblicate informazioni su tutte le vulnerabilità di questa classe, ma sono già state divulgate informazioni sulla vulnerabilità CVE-2021-26855 (ProxyLogon), che consente di estrarre i dati di un utente arbitrario senza autenticazione, e CVE-2021-27065 , che rende possibile eseguire il codice su un server con diritti di amministratore.
- Il miglior attacco crittografico. Premiato per aver individuato le lacune più significative nei sistemi reali, nei protocolli e negli algoritmi di crittografia. Il premio è stato assegnato a Microsoft per una vulnerabilità (CVE-2020-0601) nell'implementazione delle firme digitali basate su curve ellittiche, che consente di generare chiavi private basate su chiavi pubbliche. Il problema consentiva la creazione di falsi certificati TLS per HTTPS e firme digitali fittizie verificate come affidabili da Windows.
- La ricerca più innovativa di sempre. Il premio è stato assegnato ai ricercatori che hanno proposto il metodo BlindSide per bypassare la protezione ASLR (address-based randomization) utilizzando perdite di canali laterali derivanti dall'esecuzione speculativa delle istruzioni da parte del processore.
- Il fallimento più grande (Most Epic FAIL). Il premio è stato assegnato a Microsoft per aver rilasciato ripetutamente una correzione non funzionante per la vulnerabilità PrintNightmare (CVE-2021-34527) nel sistema di stampa Windows che consentiva l'esecuzione di codice. Inizialmente Microsoft aveva segnalato il problema come locale, ma poi si è scoperto che l'attacco poteva essere effettuato anche da remoto. Successivamente Microsoft ha pubblicato quattro aggiornamenti, ma ogni volta la correzione ha risolto solo un caso speciale e i ricercatori hanno trovato un nuovo modo per eseguire l'attacco.
- Il miglior bug nel software client. Il vincitore è stato il ricercatore che ha identificato la vulnerabilità CVE-2020-28341 nei crittoprocessori sicuri Samsung, che hanno ricevuto un certificato di sicurezza CC EAL 5+. La vulnerabilità ha permesso di aggirare completamente la sicurezza e ottenere l'accesso al codice in esecuzione sul chip e ai dati archiviati nell'enclave, aggirare il blocco dello screen saver e anche apportare modifiche al firmware per creare una backdoor nascosta.
- La vulnerabilità più sottovalutata. Il premio è stato assegnato a Qualys per aver individuato una serie di vulnerabilità 21Nails nel server di posta Exim, 10 delle quali possono essere sfruttate da remoto. Gli sviluppatori di Exim erano scettici sul fatto che i problemi potessero essere sfruttati e hanno impiegato più di 6 mesi a sviluppare soluzioni.
- Risposta del venditore più debole. Nomina per la risposta più inadeguata a un messaggio relativo a una vulnerabilità nel proprio prodotto. Il vincitore è stato Cellebrite, una società che crea applicazioni per l'analisi forense e l'estrazione di dati da parte delle forze dell'ordine. Cellebrite non ha risposto adeguatamente a un rapporto di vulnerabilità inviato da Moxie Marlinspike, l'autore del protocollo Signal. Moxey si è interessato a Cellebrite dopo la pubblicazione sui media di una nota sulla creazione di una tecnologia che consente l'hacking di messaggi Signal crittografati, che in seguito si è rivelata un falso a causa di un'interpretazione errata delle informazioni in un articolo sul sito Web di Cellebrite, che era poi rimosso (“l'attacco” richiedeva l'accesso fisico al telefono e la possibilità di rimuovere la schermata di blocco, ovvero si è ridotto alla visualizzazione dei messaggi in Messenger, ma non manualmente, ma tramite un'apposita applicazione che simula le azioni dell'utente).
Moxey ha studiato le applicazioni Cellebrite e ha scoperto vulnerabilità critiche che consentivano l'esecuzione di codice arbitrario durante il tentativo di scansione di dati appositamente progettati. È stato inoltre scoperto che l'applicazione Cellebrite utilizzava una libreria ffmpeg obsoleta che non veniva aggiornata da 9 anni e conteneva un gran numero di vulnerabilità senza patch. Invece di ammettere i problemi e risolverli, Cellebrite ha rilasciato una dichiarazione in cui si preoccupa dell'integrità dei dati dell'utente, mantiene la sicurezza dei suoi prodotti al livello adeguato, rilascia regolarmente aggiornamenti e fornisce le migliori applicazioni del suo genere.
- Il risultato più grande. Il premio è stato assegnato a Ilfak Gilfanov, autore del disassemblatore IDA e del decompilatore Hex-Rays, per il suo contributo allo sviluppo di strumenti per ricercatori nel campo della sicurezza e per la sua capacità di mantenere un prodotto aggiornato per 30 anni.
Fonte: opennet.ru