Wyłoniono zwycięzców dorocznej nagrody Pwnie Awards 2021, podkreślając najistotniejsze słabe punkty i absurdalne niepowodzenia w dziedzinie bezpieczeństwa komputerowego. Nagrody Pwnie uznawane są za odpowiednik Oscarów i Złotej Maliny w dziedzinie bezpieczeństwa komputerowego.
Główni zwycięzcy (lista pretendentów):
- Lepsza luka w zabezpieczeniach związana z eskalacją uprawnień. Zwycięstwo przypadło firmie Qualys za zidentyfikowanie luki CVE-2021-3156 w narzędziu sudo, która umożliwia uzyskanie uprawnień roota. Luka ta jest obecna w kodzie od około 10 lat i wyróżnia się tym, że jej zidentyfikowanie wymagało dokładnej analizy logiki narzędzia.
- Najlepszy błąd serwera. Przyznawany za zidentyfikowanie i wykorzystanie najbardziej złożonego technicznie i interesującego błędu w usłudze sieciowej. Zwycięstwo zostało przyznane za zidentyfikowanie nowego wektora ataków na Microsoft Exchange. Nie opublikowano informacji o wszystkich lukach tej klasy, ale ujawniono już informacje o luce CVE-2021-26855 (ProxyLogon), która umożliwia wydobycie danych od dowolnego użytkownika bez uwierzytelnienia, oraz CVE-2021-27065, która sprawia, że możliwość wykonania Twojego kodu na serwerze z uprawnieniami administratora.
- Najlepszy atak kryptograficzny. Przyznawany za identyfikację najpoważniejszych błędów w rzeczywistych systemach, protokołach i algorytmach szyfrowania. Nagrodę przyznano firmie Microsoft za lukę (CVE-2020-0601) w implementacji podpisów cyfrowych krzywej eliptycznej, która może generować klucze prywatne z kluczy publicznych. Problem pozwalał na tworzenie fałszywych certyfikatów TLS dla HTTPS oraz fikcyjnych podpisów cyfrowych, które zostały zweryfikowane w systemie Windows jako godne zaufania.
- Najbardziej innowacyjne badania. Nagroda została przyznana naukowcom, którzy zaproponowali metodę BlindSide do omijania ochrony opartej na randomizacji adresów (ASLR) poprzez wykorzystanie wycieków kanałów bocznych wynikających ze spekulacyjnego wykonywania instrukcji przez procesor.
- Największa porażka (Most Epic FAIL). Nagrodę przyznano firmie Microsoft za wielokrotne wydanie zepsutej poprawki luki w zabezpieczeniach PrintNightmare (CVE-2021-34527) w systemie drukowania Windows, która umożliwia wykonanie kodu. Początkowo Microsoft oflagował problem jako lokalny, ale potem okazało się, że atak można przeprowadzić zdalnie. Następnie Microsoft czterokrotnie publikował aktualizacje, ale za każdym razem poprawka zamykała tylko specjalny przypadek, a badacze znajdowali nowy sposób przeprowadzenia ataku.
- Najlepszy błąd w oprogramowaniu klienckim. Zwycięzcą został badacz, który zidentyfikował lukę CVE-2020-28341 w bezpiecznych procesorach kryptograficznych Samsung, które otrzymały certyfikat bezpieczeństwa CC EAL 5+. Luka umożliwiła całkowite ominięcie ochrony i uzyskanie dostępu do kodu wykonywanego na chipie oraz danych przechowywanych w enklawie, ominięcie blokady wygaszacza ekranu, a także dokonanie zmian w oprogramowaniu układowym w celu stworzenia ukrytego backdoora.
- Najbardziej niedoceniana podatność. Nagroda została przyznana firmie Qualys za zidentyfikowanie serii luk 21Nails w serwerze pocztowym Exim, z których 10 można było wykorzystać zdalnie. Twórcy Exima byli sceptyczni co do możliwości wykorzystania problemów i spędzili ponad 6 miesięcy na opracowywaniu poprawek.
- Najbardziej żałosna reakcja producenta (Lamest Vendor Response). Nominacja za najbardziej niewłaściwą odpowiedź na zgłoszenie podatności we własnym produkcie. Zwycięzcą została firma Cellebrite, która tworzy aplikacje do analizy kryminalistycznej i eksploracji danych dla organów ścigania. Cellebrite zareagował niewłaściwie na raport o lukach opublikowany przez Moxie Marlinspike, autora protokołu Signal. Moxxi zainteresował się Cellebrite po artykule medialnym o stworzeniu technologii umożliwiającej hakowanie zaszyfrowanych wiadomości Signal, które później okazały się fałszywe z powodu błędnej interpretacji informacji w artykule na stronie Cellebrite, który następnie został usunięty („ atak” wymagał fizycznego dostępu do telefonu i możliwości odblokowania ekranu, czyli sprowadzenia się do przeglądania wiadomości w komunikatorze, ale nie ręcznie, ale za pomocą specjalnej aplikacji symulującej działania użytkownika).
Moxxi zbadał aplikacje Cellebrite i znalazł w nich krytyczne luki, które umożliwiały wykonanie dowolnego kodu podczas próby skanowania specjalnie zaprojektowanych danych. Stwierdzono również, że aplikacja Cellebrite korzysta z przestarzałej biblioteki ffmpeg, która nie była aktualizowana od 9 lat i zawiera dużą liczbę niezałatanych luk w zabezpieczeniach. Zamiast przyznawać się do problemów i je naprawiać, firma Cellebrite wydała oświadczenie, że dba o integralność danych użytkowników, utrzymuje bezpieczeństwo swoich produktów na odpowiednim poziomie, wydaje regularne aktualizacje i dostarcza najlepsze aplikacje w swoim rodzaju.
- Największe osiągnięcie. Nagrodę otrzymał Ilfak Gilfanov, autor deasemblera IDA i dekompilatora Hex-Rays, za wkład w rozwój narzędzi dla badaczy bezpieczeństwa i umiejętność utrzymywania aktualności produktu przez 30 lat.
Źródło: opennet.ru