Ir paziņoti ikgadējās Pwnie Awards 2021 uzvarētāji, izceļot nozīmīgākās ievainojamības un absurdās kļūmes datoru drošībā. Pwnie Awards tiek uzskatīta par ekvivalentu Oskaram un Zelta avenēm datoru drošības jomā.
Galvenie uzvarētāji (pretendentu saraksts):
- Labākā ievainojamība, kas izraisa privilēģiju eskalāciju. Uzvara tika piešķirta Qualys par ievainojamības CVE-2021-3156 identificēšanu sudo utilītprogrammā, kas ļauj iegūt root tiesības. Ievainojamība kodā bija aptuveni 10 gadus, un tā ir ievērības cienīga ar to, ka tās identificēšanai bija nepieciešama rūpīga utilīta loģikas analīze.
- Labākā servera kļūda. Apbalvots par tehniski sarežģītākās un interesantākās kļūdas identificēšanu un izmantošanu tīkla pakalpojumā. Uzvara tika piešķirta par jauna uzbrukuma vektora identificēšanu Microsoft Exchange. Informācija par ne visām šīs klases ievainojamībām ir publicēta, taču jau ir atklāta informācija par ievainojamību CVE-2021-26855 (ProxyLogon), kas ļauj izvilkt patvaļīga lietotāja datus bez autentifikācijas, un CVE-2021-27065. , kas ļauj izpildīt jūsu kodu serverī ar administratora tiesībām.
- Labākais kriptogrāfijas uzbrukums. Apbalvots par nozīmīgāko trūkumu noteikšanu reālajās sistēmās, protokolos un šifrēšanas algoritmos. Balva tika piešķirta Microsoft par ievainojamību (CVE-2020-0601) digitālo parakstu ieviešanā, pamatojoties uz eliptiskām līknēm, kas ļauj ģenerēt privātās atslēgas, pamatojoties uz publiskajām atslēgām. Problēma ļāva izveidot viltotus TLS sertifikātus HTTPS un fiktīvus ciparparakstus, kurus sistēma Windows ir pārbaudījusi kā uzticamus.
- Visu laiku inovatīvākais pētījums. Balva tika piešķirta pētniekiem, kuri ierosināja BlindSide metodi, lai apietu uz adreses balstītas nejaušināšanas (ASLR) aizsardzību, izmantojot sānu kanālu noplūdes, kas izriet no spekulatīvas procesora instrukciju izpildes.
- Lielākā neveiksme (Most Epic FAIL). Balva tika piešķirta korporācijai Microsoft par to, ka tā atkārtoti izlaida bojātu PrintNightmare ievainojamības (CVE-2021-34527) labojumu Windows drukāšanas sistēmā, kas ļāva izpildīt kodu. Microsoft sākotnēji atzīmēja problēmu kā lokālu, bet pēc tam izrādījās, ka uzbrukumu var veikt attālināti. Pēc tam Microsoft četras reizes publicēja atjauninājumus, taču katru reizi labojums tikai slēdza īpašu gadījumu, un pētnieki atrada jaunu veidu, kā veikt uzbrukumu.
- Labākā kļūda klienta programmatūrā. Uzvarēja pētnieks, kurš identificēja CVE-2020-28341 ievainojamību Samsung drošajos kriptoprocesoros, kas saņēma CC EAL 5+ drošības sertifikātu. Ievainojamība ļāva pilnībā apiet drošību un piekļūt kodam, kas darbojas mikroshēmā, un anklāvā saglabātajiem datiem, apiet ekrānsaudzētāja bloķēšanu, kā arī veikt izmaiņas programmaparatūrā, lai izveidotu slēptas aizmugures durvis.
- Visvairāk nenovērtētā ievainojamība. Balva tika piešķirta uzņēmumam Qualys par 21Nails ievainojamību sērijas identificēšanu Exim pasta serverī, no kurām 10 var izmantot attālināti. Exim izstrādātāji bija skeptiski noskaņoti, ka problēmas varētu izmantot, un pavadīja vairāk nekā 6 mēnešus, izstrādājot labojumus.
- Sliktākā pārdevēja atbilde. Nominācija par visneadekvātāko atbildi uz ziņojumu par jūsu produkta ievainojamību. Uzvarēja Cellebrite, uzņēmums, kas rada lietojumprogrammas tiesu ekspertīzes analīzei un datu iegūšanai, ko veic tiesībaizsardzības iestādes. Cellebrite adekvāti nereaģēja uz ziņojumu par ievainojamību, ko nosūtīja Moksija Marlinspika, Signāla protokola autors. Moksijs par Cellebrite ieinteresējās pēc tam, kad medijos tika publicēta piezīme par tehnoloģijas izveidi, kas ļauj uzlauzt šifrētus Signal ziņojumus, kas vēlāk izrādījās viltojums, jo tika nepareizi interpretēta informācija Cellebrite tīmekļa vietnē, kas tika publicēta. pēc tam noņemts (“uzbrukumam” bija nepieciešama fiziska piekļuve tālrunim un iespēja noņemt bloķēšanas ekrānu, t.i., tas tika samazināts līdz ziņojumu skatīšanai kurjerā, bet ne manuāli, bet izmantojot īpašu lietojumprogrammu, kas simulē lietotāja darbības).
Moxey pētīja Cellebrite lietojumprogrammas un atrada tajās kritiskas ievainojamības, kas ļāva izpildīt patvaļīgu kodu, mēģinot skenēt īpaši izstrādātus datus. Tika arī konstatēts, ka Cellebrite lietojumprogramma izmanto novecojušu ffmpeg bibliotēku, kas nebija atjaunināta 9 gadus un satur lielu skaitu neaizlāgotu ievainojamību. Tā vietā, lai atzītu problēmas un novērstu problēmas, Cellebrite nāca klajā ar paziņojumu, ka rūpējas par lietotāju datu integritāti, uztur savu produktu drošību atbilstošā līmenī, regulāri izlaiž atjauninājumus un nodrošina labākās šāda veida lietojumprogrammas.
- Lielākais sasniegums. Balva tika piešķirta Ilfakam Gilfanovam, IDA demontāžas programmas un Hex-Rays dekompilatora autoram, par ieguldījumu drošības pētnieku rīku izstrādē un par viņa spēju 30 gadus uzturēt atjauninātu produktu.
Avots: opennet.ru