D'Gewënner vun den alljährlechen Pwnie Awards 2021 goufen ugekënnegt, déi bedeitendst Schwächen an absurd Feeler an der Computersécherheet beliicht. Pwnie Awards gëllen als Äquivalent vun den Oscaren a Golden Raspberries am Beräich vun der Computersécherheet.
Main Gewënner (Lëscht vun de Kandidaten):
- Beschte Schwachstelle féiert zu Privileg Eskalatioun. D'Victoire gouf u Qualys ausgezeechent fir d'Vulnerabilitéit CVE-2021-3156 am Sudo Utility z'identifizéieren, wat Iech erlaabt root Privilegien ze kréien. D'Vulnerabilitéit war am Code fir ongeféier 10 Joer präsent an ass bemierkenswäert datt d'Identifikatioun et eng grëndlech Analyse vun der Logik vum Utility erfuerdert.
- Beschte Server Käfer. Ausgezeechent fir z'identifizéieren an auszenotzen déi technesch komplexsten an interessantste Feeler an engem Netzwierkservice. D'Victoire gouf ausgezeechent fir en neien Attackvektor op Microsoft Exchange z'identifizéieren. Informatioun iwwer net all Schwachstelle vun dëser Klass gouf publizéiert, awer Informatioun gouf scho verëffentlecht iwwer d'Vulnerabilitéit CVE-2021-26855 (ProxyLogon), déi Iech erlaabt d'Donnéeën vun engem arbiträre Benotzer ouni Authentifikatioun ze extrahieren, an CVE-2021-27065 , wat et méiglech mécht Äre Code op engem Server mat Administratorrechter auszeféieren.
- Déi bescht kryptografesch Attack. Ausgezeechent fir déi bedeitendst Lücken an echte Systemer, Protokoller a Verschlësselungsalgorithmen z'identifizéieren. De Präis gouf u Microsoft ausgezeechent fir eng Schwachstelle (CVE-2020-0601) bei der Ëmsetzung vun digitale Ënnerschrëften op Basis vun ellipteschen Kéiren, wat et erlaabt privat Schlësselen op Basis vun ëffentleche Schlësselen ze generéieren. D'Thema erlaabt d'Schafung vu gefälschte TLS Zertifikater fir HTTPS a fiktiv digital Ënnerschrëften, déi vu Windows als vertrauenswierdeg verifizéiert goufen.
- Déi innovativst Fuerschung jee. De Präis gouf u Fuerscher ausgezeechent, déi d'BlindSide-Methode virgeschloen hunn fir Adress-baséiert Randomiséierung (ASLR) Schutz ze vermeiden mat Side-Channel Leckage, déi aus spekulativen Prozessor Ausféierung vun Instruktioune resultéieren.
- De gréissten Echec (Most Epic FAIL). De Präis gouf u Microsoft ausgezeechent fir ëmmer erëm e gebrach Fix fir d'PrintNightmare Schwachstelle (CVE-2021-34527) am Windows Drécksystem ze verëffentlechen, deen d'Code Ausféierung erlaabt huet. Microsoft huet de Problem ufanks als lokal markéiert, awer dunn huet sech erausgestallt datt d'Attack op afstand duerchgefouert ka ginn. Dunn huet Microsoft véier Mol Updates verëffentlecht, awer all Kéier huet d'Fixatioun nëmmen e spezielle Fall zougemaach an d'Fuerscher hunn en neie Wee fonnt fir den Attack auszeféieren.
- De beschte Feeler an der Client Software. De Gewënner war de Fuerscher deen d'CVE-2020-28341 Schwachstelle bei Samsung séchere Krypto-Prozessoren identifizéiert huet, déi en CC EAL 5+ Sécherheetszertifika krut. D'Schwachheet huet et méiglech gemaach d'Sécherheet komplett ëmzegoen an Zougang zum Code ze kréien, deen um Chip leeft an d'Donnéeën, déi an der Enclave gespäichert sinn, d'Bildschirmspärschloss ëmgoen, an och Ännerunge vun der Firmware maachen fir eng verstoppt Backdoor ze kreéieren.
- Déi meescht ënnerschat Schwachstelle. De Präis gouf u Qualys ausgezeechent fir eng Serie vun 21Nails Schwachstelle am Exim Mail Server z'identifizéieren, vun deenen 10 op afstand exploitéiert kënne ginn. D'Exim Entwéckler ware skeptesch datt d'Problemer kéinte exploitéiert ginn an hunn iwwer 6 Méint fir Fixer ze entwéckelen.
- Lamest Verkeefer Äntwert. Nominatioun fir déi mëttelméisseg Äntwert op e Message iwwer eng Schwachstelle an Ärem eegene Produkt. De Gewënner war Cellebrite, eng Firma déi Uwendungen erstellt fir forensesch Analyse an Dateextraktioun vun Affekoten. Cellebrite huet net adequat op e Schwachstellebericht geäntwert, dee vum Moxie Marlinspike, dem Autor vum Signalprotokoll geschéckt gouf. De Moxey huet sech fir Cellebrite interesséiert no der Verëffentlechung an de Medien vun enger Notiz iwwer d'Schafung vun enger Technologie, déi verschlësselte Signalmeldungen hacken erlaabt, wat spéider als Fake erausgestallt gouf wéinst der falscher Interpretatioun vun Informatioun an engem Artikel op der Cellebrite Websäit, déi war dann geläscht ("den Attack" erfuerdert kierperlechen Zougang zum Telefon an d'Fäegkeet fir de Sperrbildschierm ze läschen, dh et gouf reduzéiert fir Messagen am Messenger ze gesinn, awer net manuell, awer mat enger spezieller Applikatioun déi Benotzeraktiounen simuléiert).
Moxey huet Cellebrite Uwendungen studéiert an do kritesch Schwachstelle fonnt, déi et erlaabt hunn arbiträr Code auszeféieren wann Dir probéiert speziell entworf Daten ze scannen. D'Cellebrite Applikatioun gouf och fonnt datt se eng verännert ffmpeg Bibliothéik benotzt, déi fir 9 Joer net aktualiséiert gouf an eng grouss Unzuel un patched Schwachstelle enthält. Amplaz d'Problemer zouzeginn an d'Problemer ze fixéieren, huet Cellebrite eng Erklärung erausginn datt et sech ëm d'Integritéit vun de Benotzerdaten këmmert, d'Sécherheet vu senge Produkter op de passenden Niveau hält, reegelméisseg Updates verëffentlecht an déi bescht Applikatioune vu senger Aart liwwert.
- Déi gréissten Erreeche. De Präis gouf dem Ilfak Gilfanov, Autor vum IDA Disassembler an dem Hex-Rays Decompiler ausgezeechent, fir seng Bäiträg zur Entwécklung vun Tools fir Sécherheetsfuerscher a seng Fäegkeet fir en aktuellt Produkt fir 30 Joer z'erhalen.
Source: opennet.ru