Жыл сайынғы Pwnie Awards 2021 жүлдесінің жеңімпаздары анықталды, олар компьютерлік қауіпсіздік саласындағы ең маңызды осалдықтар мен абсурдтық сәтсіздіктерді атап өтті. Pwnie марапаттары компьютерлік қауіпсіздік саласындағы «Оскар» және «Алтын таңқурай» сыйлығының баламасы болып саналады.
Негізгі жеңімпаздар (үміткерлер тізімі):
- Артықшылықты арттыру осалдығы жақсырақ. Жеңіс Qualys компаниясына sudo утилитасындағы CVE-2021-3156 осалдығын анықтағаны үшін берілді, ол түбірлік артықшылықтарды алуға мүмкіндік береді. Бұл осалдық кодта шамамен 10 жыл бойы бар және оны анықтау үшін қызметтік бағдарламаның логикасын мұқият талдау қажет екендігімен ерекшеленеді.
- Үздік сервер қатесі. Желілік қызметтегі ең техникалық тұрғыдан күрделі және қызықты қатені анықтағаны және пайдаланғаны үшін марапатталды. Сыйлық Microsoft Exchange жүйесіндегі жаңа шабуыл векторын анықтағаны үшін берілді. Бұл кластағы барлық осалдықтар жарияланбаған, бірақ аутентификациясыз пайдаланушы деректерін алуға мүмкіндік беретін CVE-2021-26855 (ProxyLogon) және арнайы кодты орындауға мүмкіндік беретін CVE-2021-27065 туралы ақпарат бұрыннан жарияланған. сервер әкімші құқықтарымен.
- Лучшая криптографическая атака. Присуждается за выявление наиболее значимых брешей в реальных системах, протоколах и алгоритмах шифрования. Премия присуждена компании Microsoft за уязвимость (CVE-2020-0601) в реализации цифровых подписей на основе эллиптических кривых, позволяющую сгенерировать закрытые ключи на основе открытых ключей. Проблема позволяла создать поддельные TLS-сертификаты для HTTPS и фиктивные цифровые подписи, которые верифицировались в Windows как заслуживающие доверия.
- Ең инновациялық зерттеулер. Сыйлық процессордың нұсқауларды алыпсатарлық орындауы нәтижесінде бүйірлік арнаның ағып кетуін пайдалану арқылы мекенжай рандомизациясына негізделген (ASLR) қорғауды айналып өту үшін BlindSide әдісін ұсынған зерттеушілерге берілді.
- Самый большой провал (Most Epic FAIL). Премия присуждена компании Microsoft за многократно выпущенное неработающее исправление уязвимости PrintNightmare (CVE-2021-34527) в системе вывода на печать Windows, позволяющей выполнить свой код. Вначале компания Microsoft пометила проблему как локальную, но затем выяснилось, что атака может быть совершена удалённо. Затем Microsoft четыре раза публиковала обновления, но каждый раз исправление закрывало лишь частный случай и исследователи находили новый способ совершения атаки.
- Клиенттік бағдарламалық құралдағы ең жақсы қате. CC EAL 2020+ қауіпсіздік сертификатын алған қауіпсіз Samsung криптографиялық процессорларындағы CVE-28341-5 осалдығын анықтаған зерттеуші жеңімпаз болды. Осалдық қорғауды толығымен айналып өтуге және чипте орындалатын кодқа және анклавта сақталған деректерге қол жеткізуге, экран сақтағышының құлпын айналып өтуге, сондай-ақ жасырын бэкдорды жасау үшін микробағдарламаға өзгерістер енгізуге мүмкіндік берді.
- Ең бағаланбаған осалдық сыйлығы: Электрондық поштадағы 21Nails осалдықтарын анықтағаны үшін Qualys компаниясына берілді сервер Exim, оның 10-ын қашықтан пайдалануға болады. Exim әзірлеушілері пайдалану мүмкіндігіне күмәнмен қарап, түзетулерді әзірлеуге алты айдан астам уақыт жұмсады.
- Өндірушінің ең жалқау реакциясы (Lamest Vendor Response). Өз өніміндегі осалдық туралы есепке ең орынсыз жауап үшін номинация. Жеңімпаз Cellebrite болды, құқық қорғау органдарына арналған сот сараптамасы мен деректерді іздеу қосымшаларын құрастыратын компания. Cellebrite Сигнал хаттамасының авторы Мокси Марлинспик жариялаған осалдық туралы есепке орынсыз жауап берді. Моксси Cellebrite-ге шифрланған Signal хабарламаларын бұзуға мүмкіндік беретін технологияны құру туралы БАҚ мақаласынан кейін қызығушылық танытты, кейінірек ол Cellebrite веб-сайтындағы мақаладағы ақпаратты дұрыс түсіндірмеу салдарынан жалған болып шықты, содан кейін ол жойылды (« «шабуыл» телефонға физикалық қол жеткізуді және экран құлпын ашу мүмкіндігін талап етті, яғни хабарларды мессенджерде қарауға дейін қысқарды, бірақ қолмен емес, пайдаланушы әрекеттерін имитациялайтын арнайы қолданбаны пайдалану).
Moxxi Cellebrite қолданбаларын зерттеді және олардан арнайы әзірленген деректерді сканерлеу кезінде еркін кодты орындауға мүмкіндік беретін маңызды осалдықтарды тапты. Cellebrite қолданбасы сонымен қатар 9 жыл бойы жаңартылмаған және түзетілмеген осалдықтардың үлкен санын қамтитын ескірген ffmpeg кітапханасын пайдаланатыны анықталды. Мәселелерді мойындап, ақауларды жоюдың орнына, Cellebrite пайдаланушы деректерінің тұтастығына қамқорлық жасайтыны, өз өнімдерінің қауіпсіздігін тиісті деңгейде қолдайтыны, тұрақты жаңартуларды шығаратыны және осы түрдегі ең жақсы қолданбаларды жеткізетіндігі туралы мәлімдеме жасады.
- Ең үлкен жетістік. Сыйлық қауіпсіздік зерттеушілеріне арналған құралдарды әзірлеуге қосқан үлесі және өнімді 30 жыл бойы жаңартып отыру қабілеті үшін IDA бөлшектеуші және Hex-Rays декомпиляторының авторы Ильфак Гилфановқа берілді.
Ақпарат көзі: opennet.ru
