Vinnerne av den årlige Pwnie Awards 2021 har blitt annonsert, og fremhever de viktigste sårbarhetene og absurde feilene i datasikkerhet. Pwnie Awards regnes som tilsvarer Oscar-utdelingen og Golden Raspberries innen datasikkerhet.
Hovedvinnere (liste over utfordrere):
- Beste sårbarhet som fører til rettighetseskalering. Seieren ble tildelt Qualys for å identifisere sårbarheten CVE-2021-3156 i sudo-verktøyet, som lar deg få root-privilegier. Sårbarheten var til stede i koden i omtrent 10 år og er bemerkelsesverdig ved at identifisering av den krevde en grundig analyse av verktøyets logikk.
- Beste serverfeil. Tildelt for å identifisere og utnytte den mest teknisk komplekse og interessante feilen i en nettverkstjeneste. Seieren ble tildelt for å identifisere en ny angrepsvektor på Microsoft Exchange. Informasjon om ikke alle sårbarheter i denne klassen har blitt publisert, men informasjon er allerede avslørt om sårbarheten CVE-2021-26855 (ProxyLogon), som lar deg trekke ut dataene til en vilkårlig bruker uten autentisering, og CVE-2021-27065 , som gjør det mulig å kjøre koden din på en server med administratorrettigheter.
- Det beste kryptografiske angrepet. Tildelt for å identifisere de viktigste hullene i virkelige systemer, protokoller og krypteringsalgoritmer. Prisen ble tildelt Microsoft for en sårbarhet (CVE-2020-0601) i implementeringen av digitale signaturer basert på elliptiske kurver, som gjør det mulig å generere private nøkler basert på offentlige nøkler. Problemet tillot opprettelsen av falske TLS-sertifikater for HTTPS og fiktive digitale signaturer som ble bekreftet som pålitelige av Windows.
- Den mest innovative forskningen noensinne. Prisen ble tildelt forskere som foreslo BlindSide-metoden for å omgå adressebasert randomiseringsbeskyttelse (ASLR) ved å bruke sidekanallekkasjer som følge av spekulativ prosessorutførelse av instruksjoner.
- Den største fiaskoen (Most Epic FAIL). Prisen ble tildelt Microsoft for gjentatte ganger å ha gitt ut en ødelagt løsning for PrintNightmare-sårbarheten (CVE-2021-34527) i Windows-utskriftssystemet som tillot kodekjøring. Microsoft flagget først problemet som lokalt, men så viste det seg at angrepet kunne utføres eksternt. Så publiserte Microsoft oppdateringer fire ganger, men hver gang fiksingen lukket bare en spesiell sak og forskerne fant en ny måte å utføre angrepet på.
- Den beste feilen i klientprogramvaren. Vinneren var forskeren som identifiserte CVE-2020-28341-sårbarheten i Samsung sikre kryptoprosessorer, som mottok et CC EAL 5+ sikkerhetssertifikat. Sårbarheten gjorde det mulig å omgå sikkerheten fullstendig og få tilgang til koden som kjører på brikken og data lagret i enklaven, omgå skjermsparerlåsen, og også gjøre endringer i fastvaren for å lage en skjult bakdør.
- Den mest undervurderte sårbarheten. Prisen ble tildelt Qualys for å identifisere en serie 21Nails-sårbarheter i Exim-postserveren, hvorav 10 kan utnyttes eksternt. Exim-utviklerne var skeptiske til at problemene kunne utnyttes og brukte over 6 måneder på å utvikle rettelser.
- Lamest leverandørrespons. Nominering for den mest mangelfulle responsen på en melding om en sårbarhet i ditt eget produkt. Vinneren var Cellebrite, et selskap som lager applikasjoner for rettsmedisinske analyser og datautvinning av rettshåndhevende byråer. Cellebrite reagerte ikke tilstrekkelig på en sårbarhetsrapport sendt av Moxie Marlinspike, forfatteren av Signal-protokollen. Moxey ble interessert i Cellebrite etter publisering i media av et notat om opprettelsen av en teknologi som tillater hacking av krypterte signalmeldinger, som senere viste seg å være falske på grunn av feiltolkning av informasjon i en artikkel på Cellebrite-nettstedet, som ble deretter fjernet ("angrepet" krevde fysisk tilgang til telefonen og muligheten til å fjerne låseskjermen, det vil si at det ble redusert til å se meldinger i messengeren, men ikke manuelt, men ved å bruke en spesiell applikasjon som simulerer brukerhandlinger).
Moxey studerte Cellebrite-applikasjoner og fant kritiske sårbarheter der som gjorde at vilkårlig kode kunne kjøres når han forsøkte å skanne spesialdesignede data. Cellebrite-applikasjonen ble også funnet å bruke et utdatert ffmpeg-bibliotek som ikke hadde blitt oppdatert på 9 år og inneholdt et stort antall uopprettede sårbarheter. I stedet for å innrømme problemene og fikse problemene, ga Cellebrite en uttalelse om at den bryr seg om integriteten til brukerdata, opprettholder sikkerheten til produktene sine på riktig nivå, gir regelmessig ut oppdateringer og leverer de beste applikasjonene i sitt slag.
- Den største prestasjonen. Prisen ble tildelt Ilfak Gilfanov, forfatter av IDA-disassembleren og Hex-Rays-dekompileren, for hans bidrag til utviklingen av verktøy for sikkerhetsforskere og hans evne til å opprettholde et oppdatert produkt i 30 år.
Kilde: opennet.ru