De winnaars van de jaarlijkse Pwnie Awards 2021 zijn bekend, waarbij de belangrijkste kwetsbaarheden en absurde mislukkingen op het gebied van computerbeveiliging worden belicht. De Pwnie Awards worden beschouwd als het equivalent van de Oscars en de Golden Raspberry in computerbeveiliging.
Belangrijkste winnaars (lijst van kanshebbers):
- Betere kwetsbaarheid voor escalatie van bevoegdheden. De overwinning werd toegekend aan Qualys voor het identificeren van de kwetsbaarheid CVE-2021-3156 in het hulpprogramma sudo, waarmee rootrechten kunnen worden verkregen. De kwetsbaarheid is al ongeveer 10 jaar in de code aanwezig en valt op door het feit dat een grondige analyse van de logica van het hulpprogramma nodig was om deze te identificeren.
- Beste serverfout. Bekroond voor het identificeren en exploiteren van de technisch meest complexe en interessante bug in een netwerkdienst. De overwinning werd toegekend voor het identificeren van een nieuwe vector van aanvallen op Microsoft Exchange. Informatie over niet alle kwetsbaarheden van deze klasse is gepubliceerd, maar er is al informatie vrijgegeven over de kwetsbaarheid CVE-2021-26855 (ProxyLogon), waarmee gegevens van een willekeurige gebruiker zonder authenticatie kunnen worden geëxtraheerd, en CVE-2021-27065, waardoor het is mogelijk om uw code uit te voeren op een server met beheerdersrechten.
- De beste cryptografische aanval. Bekroond voor het identificeren van de belangrijkste tekortkomingen in echte systemen, protocollen en versleutelingsalgoritmen. De prijs werd toegekend aan Microsoft voor een kwetsbaarheid (CVE-2020-0601) in de implementatie van elliptische gebogen digitale handtekeningen die privésleutels konden genereren uit openbare sleutels. Door het probleem konden valse TLS-certificaten voor HTTPS en fictieve digitale handtekeningen worden gemaakt, die in Windows als betrouwbaar werden geverifieerd.
- Meest innovatieve onderzoek. De prijs werd uitgereikt aan onderzoekers die de BlindSide-methode hebben voorgesteld om de bescherming van Address Randomization Based Leverage (ASLR) te omzeilen door zijkanaallekken te gebruiken die het resultaat zijn van speculatieve uitvoering van instructies door de processor.
- De grootste mislukking (Most Epic FAIL). De prijs werd toegekend aan Microsoft voor de gebroken fix met meerdere releases voor de PrintNightmare (CVE-2021-34527)-kwetsbaarheid in het Windows-afdruksysteem waarmee u uw code kunt uitvoeren. In eerste instantie markeerde Microsoft het probleem als lokaal, maar later bleek dat de aanval op afstand kon worden uitgevoerd. Vervolgens publiceerde Microsoft vier keer updates, maar elke keer sloot de fix alleen een speciaal geval af en vonden de onderzoekers een nieuwe manier om de aanval uit te voeren.
- Beste bug in clientsoftware. De winnaar was de onderzoeker die de CVE-2020-28341-kwetsbaarheid identificeerde in beveiligde Samsung-cryptoprocessors die een CC EAL 5+-beveiligingscertificaat ontvingen. De kwetsbaarheid maakte het mogelijk om de beveiliging volledig te omzeilen en toegang te krijgen tot de code die op de chip werd uitgevoerd en de gegevens die in de enclave waren opgeslagen, de schermbeveiligingsvergrendeling te omzeilen en ook wijzigingen in de firmware aan te brengen om een verborgen achterdeur te creëren.
- De meest onderschatte kwetsbaarheid. De prijs werd toegekend aan Qualys voor het identificeren van een reeks 21Nails-kwetsbaarheden in de Exim-mailserver, waarvan er tien op afstand konden worden misbruikt. De Exim-ontwikkelaars waren sceptisch over de mogelijkheid om de problemen uit te buiten en besteedden meer dan 10 maanden aan het ontwikkelen van oplossingen.
- De meest flauwe reactie van de fabrikant (Lamest Vendor Response). Nominatie voor de meest ongepaste reactie op een kwetsbaarheidsmelding in het eigen product. De winnaar was Cellebrite, een bedrijf dat forensische analyse- en datamining-applicaties bouwt voor rechtshandhaving. Cellebrite reageerde ongepast op een kwetsbaarheidsrapport dat was geplaatst door Moxie Marlinspike, auteur van het Signal-protocol. Moxxi raakte geïnteresseerd in Cellebrite na een mediaartikel over de creatie van een technologie die het hacken van versleutelde Signal-berichten mogelijk maakt, wat later nep bleek te zijn vanwege een verkeerde interpretatie van informatie in een artikel op de Cellebrite-website, dat vervolgens werd verwijderd (“ de aanval" vereiste fysieke toegang tot de telefoon en de mogelijkheid om het scherm te ontgrendelen, d.w.z. gereduceerd tot het bekijken van berichten in de messenger, maar niet handmatig, maar met behulp van een speciale applicatie die gebruikersacties simuleert).
Moxxi bestudeerde Cellebrite-applicaties en vond daar kritieke kwetsbaarheden waardoor willekeurige code kon worden uitgevoerd bij het scannen van speciaal ontworpen gegevens. De Cellebrite-applicatie bleek ook een verouderde ffmpeg-bibliotheek te gebruiken die al 9 jaar niet is bijgewerkt en een groot aantal niet-gepatchte kwetsbaarheden bevat. In plaats van de problemen te erkennen en op te lossen, heeft Cellebrite een verklaring uitgegeven dat het geeft om de integriteit van gebruikersgegevens, de beveiliging van zijn producten op het juiste niveau handhaaft, regelmatig updates uitbrengt en de beste applicaties in zijn soort levert.
- De grootste prestatie. De prijs werd uitgereikt aan Ilfak Gilfanov, auteur van de IDA disassembler en Hex-Rays decompiler, voor zijn bijdrage aan de ontwikkeling van tools voor beveiligingsonderzoekers en zijn vermogen om het product 30 jaar up-to-date te houden.
Bron: opennet.ru