Утврдени се победниците на годишните награди Pwnie 2021, истакнувајќи ги најзначајните пропусти и апсурдните неуспеси во областа на компјутерската безбедност. Наградите Pwnie се сметаат за еквивалент на Оскарите и Златната малина во компјутерската безбедност.
Главни победници (список на кандидати):
- Подобра ранливост при ескалација на привилегиите. Победата му беше доделена на Qualys за идентификување на ранливоста CVE-2021-3156 во алатката sudo, што овозможува добивање права на root. Ранливоста е присутна во кодот околу 10 години и е забележлива по тоа што беше потребна темелна анализа на логиката на алатката за да се идентификува.
- Најдобра серверска грешка. Награден за идентификување и искористување на технички најпредизвикувачките и интересни грешки во мрежна услуга. Победата беше доделена за идентификување на нов вектор на напади на Microsoft Exchange. Информациите за не сите пропусти од оваа класа се објавени, но веќе се откриени информации за ранливоста CVE-2021-26855 (ProxyLogon), која овозможува извлекување податоци од произволен корисник без автентикација и CVE-2021-27065, што прави можно е да го извршите вашиот код на сервер со администраторски права.
- Најдобриот криптографски напад. Награден за идентификување на најзначајните недостатоци во реалните системи, протоколи и алгоритми за шифрирање. Наградата му беше доделена на Microsoft за ранливост (CVE-2020-0601) во имплементацијата на дигитални потписи со елипсовидна крива што може да генерира приватни клучеви од јавни клучеви. Проблемот овозможи создавање лажни TLS сертификати за HTTPS и фиктивни дигитални потписи, кои беа потврдени во Windows како доверливи.
- Најиновативно истражување. Наградата им беше доделена на истражувачите кои го предложија методот BlindSide за заобиколување на заштитата врз основа на рандомизација на адреси (ASLR) со користење на протекување на страничните канали како резултат на шпекулативно извршување на инструкциите од страна на процесорот.
- Најголемиот неуспех (Most Epic FAIL). Наградата му беше доделена на Мајкрософт за скршената поправка со повеќекратно ослободување за ранливоста на PrintNightmare (CVE-2021-34527) во системот за печатење Windows што ви овозможува да го извршите вашиот код. На почетокот, Microsoft го означи проблемот како локален, но потоа се покажа дека нападот може да се изврши од далечина. Потоа Мајкрософт објави ажурирања четири пати, но секој пат кога поправката затвора само посебен случај, а истражувачите најдоа нов начин за извршување на нападот.
- Најдобра грешка во клиентскиот софтвер. Победникот беше истражувачот кој ја идентификуваше ранливоста CVE-2020-28341 во безбедните крипто процесори на Samsung кои добија безбедносен сертификат CC EAL 5+. Ранливоста овозможи целосно да се заобиколи заштитата и да се добие пристап до кодот извршен на чипот и податоците зачувани во енклавата, да се заобиколи заклучувањето на заштитникот на екранот, а исто така да се направат промени во фирмверот за да се создаде скриена задна врата.
- Најпотценета ранливост. Наградата му беше доделена на Qualys за идентификување на низа пропусти на 21Nails во серверот за пошта Exim, од кои 10 може да се искористат од далечина. Програмерите на Exim беа скептични во врска со можноста за искористување на проблемите и поминаа повеќе од 6 месеци развивајќи поправки.
- Најламерна реакција на производителот (Lamest Vendor Response). Номинација за најнесоодветен одговор на извештај за ранливост во сопствен производ. Победник беше Cellebrite, компанија која гради апликации за форензичка анализа и за ископување податоци за спроведување на законот. Cellebrite реагираше несоодветно на извештајот за ранливост објавен од Moxie Marlinspike, автор на протоколот Signal. Moxxi се заинтересира за Cellebrite по медиумски напис за создавање на технологија која овозможува хакирање на шифрирани сигнални пораки, кои подоцна се покажаа дека се лажни поради погрешно толкување на информациите во една статија на веб-страницата Cellebrite, која потоа беше отстранета (“ нападот“ бараше физички пристап до телефонот и можност за отклучување на екранот, односно сведено на гледање пораки во месинџерот, но не рачно, туку со помош на специјална апликација која симулира дејства на корисникот).
Moxxi ги проучувал апликациите на Cellebrite и таму пронашол критични пропусти што овозможуваат произволен код да се изврши кога се обидува да скенира специјално дизајнирани податоци. Утврдено е дека апликацијата Cellebrite користи и застарена ffmpeg библиотека која не е ажурирана 9 години и содржи голем број незакрпени пропусти. Наместо да ги признае проблемите и да ги поправа проблемите, Cellebrite издаде соопштение дека се грижи за интегритетот на корисничките податоци, ја одржува безбедноста на своите производи на соодветно ниво, објавува редовни ажурирања и ги испорачува најдобрите апликации од ваков вид.
- Најголемото достигнување. Наградата му беше доделена на Илфак Гилфанов, автор на IDA расклопувачот и декомпајлерот Hex-Rays, за неговиот придонес во развојот на алатки за безбедносните истражувачи и неговата способност да го одржува производот ажуриран 30 години.
Извор: opennet.ru