Išaiškinti kasmetinių „Pwnie Awards 2021“ nugalėtojai, išryškinantys reikšmingiausius pažeidžiamumus ir absurdiškas nesėkmes kompiuterių saugumo srityje. „Pwnie“ apdovanojimai kompiuterių saugumo srityje laikomi „Oskarų“ ir „Auksinės avietės“ ekvivalentu.
Pagrindiniai nugalėtojai (pretendentų sąrašas):
- Geresnis privilegijų padidinimo pažeidžiamumas. Pergalė buvo įteikta „Qualys“ už sudo programos pažeidžiamumo CVE-2021-3156 identifikavimą, leidžiantį gauti root teises. Pažeidžiamumas kode buvo apie 10 metų ir pastebimas tuo, kad norint jį identifikuoti reikėjo nuodugniai išanalizuoti programos logiką.
- Geriausia serverio klaida. Apdovanotas už techniškai sudėtingiausios ir įdomiausios tinklo paslaugos klaidos nustatymą ir išnaudojimą. Pergalė buvo įteikta už tai, kad buvo nustatytas naujas atakų prieš „Microsoft Exchange“ vektorius. Paskelbta informacija apie ne visus šios klasės pažeidžiamumus, tačiau jau buvo atskleista informacija apie pažeidžiamumą CVE-2021-26855 (ProxyLogon), leidžiantį išgauti duomenis iš savavališko vartotojo be autentifikavimo, ir CVE-2021-27065, kuris daro galima vykdyti savo kodą serveryje su administratoriaus teisėmis.
- Geriausia kriptografinė ataka. Apdovanotas už svarbiausių realių sistemų, protokolų ir šifravimo algoritmų trūkumų nustatymą. Apdovanojimas buvo suteiktas „Microsoft“ už pažeidžiamumą (CVE-2020-0601) diegiant elipsinės kreivės skaitmeninius parašus, galinčius generuoti privačius raktus iš viešųjų raktų. Problema leido sukurti netikrus HTTPS TLS sertifikatus ir fiktyvius skaitmeninius parašus, kurie sistemoje Windows buvo patvirtinti kaip patikimi.
- Novatoriškiausi tyrimai. Apdovanojimas buvo įteiktas tyrėjams, pasiūliusiems BlindSide metodą, skirtą apeiti adresų atsitiktine tvarka pagrįstą sverto (ASLR) apsaugą, naudojant šoninio kanalo nutekėjimą, atsirandantį dėl procesoriaus spekuliatyvaus instrukcijų vykdymo.
- Didžiausia nesėkmė (Most Epic FAIL). Apdovanojimas buvo suteiktas „Microsoft“ už kelių leidimų neveikiantį „Windows“ spausdinimo sistemos „PrintNightmare“ (CVE-2021-34527) pažeidžiamumo, leidžiančio paleisti kodą, pataisymą. Iš pradžių „Microsoft“ pažymėjo problemą kaip vietinę, tačiau vėliau paaiškėjo, kad ataka gali būti vykdoma nuotoliniu būdu. Tada „Microsoft“ keturis kartus paskelbė atnaujinimus, tačiau kiekvieną kartą taisymas uždarė tik specialų atvejį, o mokslininkai rado naują atakos vykdymo būdą.
- Geriausia kliento programinės įrangos klaida. Nugalėtoju tapo tyrėjas, nustatęs CVE-2020-28341 pažeidžiamumą saugiuose „Samsung“ šifravimo procesoriuose, gavusiuose CC EAL 5+ saugos sertifikatą. Pažeidžiamumas leido visiškai apeiti apsaugą ir gauti prieigą prie kodo, vykdomo mikroschemoje, ir anklave saugomų duomenų, apeiti ekrano užsklandos užraktą, taip pat atlikti programinės aparatinės įrangos pakeitimus, kad būtų sukurtos paslėptos užpakalinės durys.
- Labiausiai neįvertintas pažeidžiamumas. Apdovanojimas buvo suteiktas Qualys už 21Nails pažeidžiamumų Exim pašto serveryje nustatymą, iš kurių 10 gali būti išnaudojami nuotoliniu būdu. „Exim“ kūrėjai skeptiškai vertino galimybę išnaudoti problemas ir praleido daugiau nei 6 mėnesius kurdami pataisymus.
- Šlykščiausia gamintojo reakcija (Lamest Vendor Response). Nominacija už netinkamiausią atsaką į pranešimą apie pažeidžiamumą savo gaminyje. Laimėtojas buvo Cellebrite – bendrovė, kurianti teismo ekspertizės ir duomenų gavybos programas teisėsaugos reikmėms. „Cellebrite“ netinkamai sureagavo į pažeidžiamumo ataskaitą, kurią paskelbė Signalo protokolo autorė Moxie Marlinspike. Moxxi susidomėjo Cellebrite po žiniasklaidos straipsnio apie technologijos, leidžiančios įsilaužti į užšifruotus signalo pranešimus, sukūrimą, kuris vėliau pasirodė esąs netikras dėl neteisingai interpretuotos informacijos Cellebrite svetainėje, kuri vėliau buvo pašalinta (“ ataka“ reikalavo fizinės prieigos prie telefono ir galimybės atrakinti ekraną, t.y. apribota iki pranešimų peržiūros „Messenger“, bet ne rankiniu būdu, o naudojant specialią vartotojo veiksmus imituojančią programą).
Moxxi išstudijavo Cellebrite programas ir jose aptiko kritinių spragų, leidžiančių vykdyti savavališką kodą bandant nuskaityti specialiai sukurtus duomenis. Taip pat buvo nustatyta, kad Cellebrite programa naudoja pasenusią ffmpeg biblioteką, kuri nebuvo atnaujinta 9 metus ir kurioje yra daug nepataisytų pažeidžiamumų. Užuot pripažinusi problemas ir išsprendusi problemas, „Cellebrite“ paskelbė pareiškimą, kad jai rūpi vartotojo duomenų vientisumas, palaiko reikiamo lygio produktų saugumą, reguliariai išleidžia atnaujinimus ir teikia geriausias tokio pobūdžio programas.
- Didžiausias pasiekimas. Apdovanojimas skirtas Ilfakui Gilfanovui, IDA išardiklio ir Hex-Rays dekompiliatoriaus autoriui, už indėlį kuriant saugumo tyrinėtojams skirtus įrankius ir už sugebėjimą 30 metų nuolat atnaujinti produktą.
Šaltinis: opennet.ru