Au fost anunțați câștigătorii premiilor anuale Pwnie 2021, evidențiind cele mai semnificative vulnerabilități și defecțiuni absurde în securitatea computerelor. Premiile Pwnie sunt considerate echivalentul premiilor Oscar și Zmeura de Aur în domeniul securității computerelor.
Principalii câștigători (lista concurenților):
- Cea mai bună vulnerabilitate care duce la escaladarea privilegiilor. Victoria a fost acordată lui Qualys pentru identificarea vulnerabilității CVE-2021-3156 în utilitarul sudo, care vă permite să obțineți privilegii de root. Vulnerabilitatea a fost prezentă în cod de aproximativ 10 ani și este de remarcat prin faptul că identificarea acesteia a necesitat o analiză amănunțită a logicii utilitarului.
- Cea mai bună eroare a serverului. Premiat pentru identificarea și exploatarea celei mai complexe și mai interesante erori din punct de vedere tehnic dintr-un serviciu de rețea. Victoria a fost acordată pentru identificarea unui nou vector de atac pe Microsoft Exchange. Informații despre nu toate vulnerabilitățile acestei clase au fost publicate, dar au fost deja dezvăluite informații despre vulnerabilitatea CVE-2021-26855 (ProxyLogon), care vă permite să extrageți datele unui utilizator arbitrar fără autentificare și CVE-2021-27065 , ceea ce face posibilă executarea codului pe un server cu drepturi de administrator.
- Cel mai bun atac criptografic. Acordat pentru identificarea celor mai semnificative lacune în sistemele reale, protocoalele și algoritmii de criptare. Premiul a fost acordat Microsoft pentru o vulnerabilitate (CVE-2020-0601) în implementarea semnăturilor digitale bazate pe curbe eliptice, care permite generarea de chei private pe baza cheilor publice. Problema a permis crearea de certificate TLS false pentru HTTPS și semnături digitale fictive care au fost verificate ca fiind de încredere de Windows.
- Cea mai inovatoare cercetare vreodată. Premiul a fost acordat cercetătorilor care au propus metoda BlindSide pentru a ocoli protecția randomizării bazate pe adrese (ASLR) folosind scurgeri de canale laterale rezultate din execuția speculativă a instrucțiunilor de la procesor.
- Cel mai mare eșec (Most Epic FAIL). Premiul a fost acordat Microsoft pentru lansarea în mod repetat a unei remedieri întrerupte pentru vulnerabilitatea PrintNightmare (CVE-2021-34527) în sistemul de imprimare Windows care a permis executarea codului. Microsoft a semnalat inițial problema ca fiind locală, dar apoi s-a dovedit că atacul ar putea fi efectuat de la distanță. Apoi Microsoft a publicat actualizări de patru ori, dar de fiecare dată remedierea a închis doar un caz special, iar cercetătorii au găsit o nouă modalitate de a efectua atacul.
- Cel mai bun bug din software-ul client. Câștigătorul a fost cercetătorul care a identificat vulnerabilitatea CVE-2020-28341 în criptoprocesoarele securizate Samsung, care au primit un certificat de securitate CC EAL 5+. Vulnerabilitatea a făcut posibilă ocolirea completă a securității și obținerea accesului la codul care rulează pe cip și datele stocate în enclavă, ocolirea blocării economizorului de ecran și, de asemenea, efectuarea modificărilor firmware-ului pentru a crea o ușă din spate ascunsă.
- Cea mai subestimată vulnerabilitate. Premiul a fost acordat lui Qualys pentru identificarea unei serii de vulnerabilități 21Nails în serverul de e-mail Exim, dintre care 10 pot fi exploatate de la distanță. Dezvoltatorii Exim au fost sceptici că problemele ar putea fi exploatate și au petrecut peste 6 luni să dezvolte remedieri.
- Cel mai prost răspuns al furnizorului. Nominalizare pentru cel mai neadecvat răspuns la un mesaj despre o vulnerabilitate a propriului produs. Câștigătorul a fost Cellebrite, o companie care creează aplicații pentru analiză criminalistică și extragerea datelor de către agențiile de aplicare a legii. Cellebrite nu a răspuns corespunzător unui raport de vulnerabilitate trimis de Moxie Marlinspike, autorul protocolului Signal. Moxey a devenit interesat de Cellebrite după publicarea în mass-media a unei note despre crearea unei tehnologii care permite piratarea mesajelor Signal criptate, care ulterior s-a dovedit a fi un fals din cauza interpretării greșite a informațiilor într-un articol de pe site-ul Cellebrite, care a fost apoi eliminat („atacul” a necesitat acces fizic la telefon și posibilitatea de a elimina ecranul de blocare, adică s-a redus la vizualizarea mesajelor în messenger, dar nu manual, ci folosind o aplicație specială care simulează acțiunile utilizatorului).
Moxey a studiat aplicațiile Cellebrite și a găsit acolo vulnerabilități critice care au permis executarea unui cod arbitrar atunci când încerca să scaneze date special concepute. De asemenea, sa constatat că aplicația Cellebrite folosește o bibliotecă ffmpeg învechită, care nu a fost actualizată timp de 9 ani și conținea un număr mare de vulnerabilități necorecte. În loc să admită problemele și să remedieze problemele, Cellebrite a emis o declarație conform căreia îi pasă de integritatea datelor utilizatorilor, menține securitatea produselor sale la un nivel adecvat, lansează în mod regulat actualizări și oferă cele mai bune aplicații de acest gen.
- Cea mai mare realizare. Premiul a fost acordat lui Ilfak Gilfanov, autorul dezasamblatorului IDA și al decompilatorului Hex-Rays, pentru contribuțiile sale la dezvoltarea instrumentelor pentru cercetătorii în domeniul securității și pentru capacitatea sa de a menține un produs la zi timp de 30 de ani.
Sursa: opennet.ru