Os vencedores do Pwnie Awards 2021 anual foram determinados, destacando as vulnerabilidades mais significativas e falhas absurdas no campo da segurança de computadores. Os Prêmios Pwnie são considerados o equivalente ao Oscar e ao Framboesa de Ouro em segurança de computadores.
Principais vencedores (lista de concorrentes):
- Melhor vulnerabilidade de escalonamento de privilégios. A vitória foi concedida à Qualys por identificar a vulnerabilidade CVE-2021-3156 no utilitário sudo, que permite obter privilégios de root. A vulnerabilidade está presente no código há cerca de 10 anos e é notável pelo fato de que uma análise minuciosa da lógica do utilitário foi necessária para identificá-la.
- Melhor Bug do Servidor. Premiado por identificar e explorar o bug tecnicamente mais complexo e interessante em um serviço de rede. A vitória foi concedida por identificar um novo vetor de ataques ao Microsoft Exchange. Informações sobre nem todas as vulnerabilidades desta classe foram publicadas, mas já foram divulgadas informações sobre a vulnerabilidade CVE-2021-26855 (ProxyLogon), que permite extrair dados de um usuário arbitrário sem autenticação, e CVE-2021-27065, que torna é possível executar seu código em um servidor com direitos de administrador.
- O melhor ataque criptográfico. Premiado por identificar as falhas mais significativas em sistemas reais, protocolos e algoritmos de criptografia. O prêmio foi concedido à Microsoft por uma vulnerabilidade (CVE-2020-0601) na implementação de assinaturas digitais de curva elíptica que podem gerar chaves privadas a partir de chaves públicas. O problema permitiu a criação de falsos certificados TLS para HTTPS e assinaturas digitais fictícias, que foram verificadas no Windows como confiáveis.
- Pesquisa mais inovadora. O prêmio foi concedido a pesquisadores que propuseram o método BlindSide para ignorar a proteção baseada em randomização de endereço (ASLR) usando vazamentos de canal lateral resultantes da execução especulativa de instruções pelo processador.
- A maior falha (FALHA mais épica). O prêmio foi concedido à Microsoft pela correção de vários lançamentos para a vulnerabilidade PrintNightmare (CVE-2021-34527) no sistema de impressão do Windows que permite que você execute seu código. A princípio, a Microsoft sinalizou o problema como local, mas depois descobriu-se que o ataque poderia ser realizado remotamente. Então a Microsoft publicou atualizações quatro vezes, mas cada vez que a correção fechou apenas um caso especial, e os pesquisadores encontraram uma nova maneira de realizar o ataque.
- Melhor bug no software cliente. O vencedor foi o pesquisador que identificou a vulnerabilidade CVE-2020-28341 em processadores criptográficos seguros da Samsung que receberam um certificado de segurança CC EAL 5+. A vulnerabilidade permitiu contornar completamente a proteção e obter acesso ao código executado no chip e aos dados armazenados no enclave, contornar o bloqueio do protetor de tela e também fazer alterações no firmware para criar um backdoor oculto.
- A vulnerabilidade mais subestimada. O prêmio foi concedido à Qualys por identificar uma série de vulnerabilidades 21Nails no servidor de correio Exim, das quais 10 poderiam ser exploradas remotamente. Os desenvolvedores do Exim estavam céticos sobre a possibilidade de explorar os problemas e passaram mais de 6 meses desenvolvendo correções.
- A reação mais fraca do fabricante (Lamest Vendor Response). Nomeação para a resposta mais inadequada a um relatório de vulnerabilidade no próprio produto. A vencedora foi a Cellebrite, uma empresa que desenvolve aplicativos de análise forense e mineração de dados para aplicação da lei. A Cellebrite respondeu de forma inadequada a um relatório de vulnerabilidade publicado por Moxie Marlinspike, autor do protocolo Signal. Moxxi se interessou pela Cellebrite após um artigo na mídia sobre a criação de uma tecnologia que permite hackear mensagens criptografadas do Signal, que mais tarde se revelou falsa devido a uma má interpretação das informações em um artigo do site da Cellebrite, que foi removido (“ o ataque” exigia acesso físico ao telefone e a capacidade de desbloquear a tela, ou seja, reduzida à visualização de mensagens no messenger, mas não manualmente, mas usando um aplicativo especial que simula as ações do usuário).
Moxxi estudou os aplicativos da Cellebrite e encontrou vulnerabilidades críticas que permitiam a execução de código arbitrário ao tentar digitalizar dados especialmente projetados. Também foi descoberto que o aplicativo Cellebrite usa uma biblioteca ffmpeg desatualizada que não é atualizada há 9 anos e contém um grande número de vulnerabilidades não corrigidas. Em vez de reconhecer os problemas e corrigi-los, a Cellebrite divulgou uma declaração de que se preocupa com a integridade dos dados do usuário, mantém a segurança de seus produtos no nível adequado, lança atualizações regulares e oferece os melhores aplicativos de seu tipo.
- A maior conquista. O prêmio foi concedido a Ilfak Gilfanov, autor do desmontador IDA e do descompilador Hex-Rays, por sua contribuição para o desenvolvimento de ferramentas para pesquisadores de segurança e sua capacidade de manter o produto atualizado por 30 anos.
Fonte: opennet.ru