Boli vyhlásení víťazi výročnej ceny Pwnie Awards 2021, ktorá poukazuje na najvýznamnejšie zraniteľnosti a absurdné zlyhania v počítačovej bezpečnosti. Ceny Pwnie sú v oblasti počítačovej bezpečnosti považované za ekvivalent Oscarov a Zlatých malín.
Hlavní víťazi (zoznam súťažiacich):
- Najlepšia zraniteľnosť vedúca k eskalácii privilégií. Víťazstvo bolo udelené spoločnosti Qualys za identifikáciu zraniteľnosti CVE-2021-3156 v utilite sudo, ktorá vám umožňuje získať oprávnenia root. Zraniteľnosť bola prítomná v kóde približne 10 rokov a je pozoruhodná tým, že jej identifikácia si vyžadovala dôkladnú analýzu logiky pomôcky.
- Najlepšia chyba servera. Udeľuje sa za identifikáciu a využitie technicky najzložitejšej a najzaujímavejšej chyby v sieťovej službe. Víťazstvo bolo udelené za identifikáciu nového vektora útokov na Microsoft Exchange. Informácie o nie všetkých zraniteľnostiach tejto triedy boli zverejnené, ale už boli zverejnené informácie o zraniteľnosti CVE-2021-26855 (ProxyLogon), ktorá umožňuje extrahovať údaje ľubovoľného používateľa bez autentifikácie, a CVE-2021-27065 , čo umožňuje spustiť váš kód na serveri s právami správcu.
- Najlepší kryptografický útok. Udeľuje sa za identifikáciu najvýznamnejších medzier v reálnych systémoch, protokoloch a šifrovacích algoritmoch. Ocenenie bolo udelené spoločnosti Microsoft za zraniteľnosť (CVE-2020-0601) pri implementácii digitálnych podpisov založených na eliptických krivkách, čo umožňuje generovanie súkromných kľúčov na základe verejných kľúčov. Problém umožnil vytvorenie falošných certifikátov TLS pre HTTPS a fiktívnych digitálnych podpisov, ktoré boli Windowsom overené ako dôveryhodné.
- Najinovatívnejší výskum vôbec. Cena bola udelená výskumníkom, ktorí navrhli metódu BlindSide na obídenie ochrany randomizácie založenej na adrese (ASLR) pomocou únikov z bočných kanálov, ktoré sú výsledkom špekulatívneho vykonávania inštrukcií procesorom.
- Najväčšie zlyhanie (Most Epic FAIL). Ocenenie bolo udelené spoločnosti Microsoft za opakované uvoľnenie nefunkčnej opravy zraniteľnosti PrintNightmare (CVE-2021-34527) v tlačovom systéme Windows, ktorá umožňovala spustenie kódu. Microsoft najprv označil problém ako lokálny, no potom sa ukázalo, že útok je možné vykonať na diaľku. Potom Microsoft zverejnil aktualizácie štyrikrát, no zakaždým oprava uzavrela iba špeciálny prípad a vedci našli nový spôsob, ako útok vykonať.
- Najlepšia chyba v klientskom softvéri. Víťazom sa stal výskumník, ktorý identifikoval zraniteľnosť CVE-2020-28341 v zabezpečených kryptoprocesoroch Samsung, ktoré získali bezpečnostný certifikát CC EAL 5+. Zraniteľnosť umožnila úplne obísť bezpečnosť a získať prístup ku kódu bežiacemu na čipe a dátam uloženým v enkláve, obísť zámok šetriča obrazovky a tiež vykonať zmeny vo firmvéri na vytvorenie skrytých zadných vrátok.
- Najviac podceňovaná zraniteľnosť. Ocenenie bolo udelené spoločnosti Qualys za identifikáciu série zraniteľností 21Nails na poštovom serveri Exim, z ktorých 10 je možné zneužiť na diaľku. Vývojári Exim boli skeptickí, že by sa problémy dali zneužiť a strávili viac ako 6 mesiacov vývojom opráv.
- Najnižšia odpoveď dodávateľa. Nominácia za najneprimeranejšiu odpoveď na správu o zraniteľnosti vášho vlastného produktu. Víťazom sa stala spoločnosť Cellebrite, ktorá vytvára aplikácie na forenznú analýzu a extrakciu údajov orgánmi činnými v trestnom konaní. Cellebrite nereagoval adekvátne na správu o zraniteľnosti, ktorú poslal Moxie Marlinspike, autor protokolu Signal. Moxey sa o Cellebrite začal zaujímať po tom, čo v médiách zverejnila poznámku o vytvorení technológie, ktorá umožňuje hackovanie šifrovaných správ Signal, ktoré sa neskôr ukázali ako falošné v dôsledku nesprávneho výkladu informácií v článku na webovej stránke Cellebrite, ktorý bol následne odstránený („útok“ si vyžadoval fyzický prístup k telefónu a možnosť odstrániť uzamknutú obrazovku, t. j. zredukoval sa na prezeranie správ v messengeri, ale nie manuálne, ale pomocou špeciálnej aplikácie, ktorá simuluje akcie používateľa).
Moxey študoval aplikácie Cellebrite a našiel tam kritické zraniteľnosti, ktoré umožňovali spustenie ľubovoľného kódu pri pokuse o skenovanie špeciálne navrhnutých údajov. Zistilo sa tiež, že aplikácia Cellebrite používa zastaranú knižnicu ffmpeg, ktorá nebola aktualizovaná 9 rokov a obsahovala veľké množstvo neopravených zraniteľností. Namiesto priznania problémov a ich odstránenia vydala spoločnosť Cellebrite vyhlásenie, že sa stará o integritu používateľských údajov, udržiava bezpečnosť svojich produktov na správnej úrovni, pravidelne vydáva aktualizácie a dodáva najlepšie aplikácie svojho druhu.
- Najväčší úspech. Cena bola udelená Ilfakovi Gilfanovovi, autorovi disassembleru IDA a dekompilátora Hex-Rays, za jeho prínos k vývoju nástrojov pre výskumníkov v oblasti bezpečnosti a jeho schopnosť udržiavať aktuálny produkt po dobu 30 rokov.
Zdroj: opennet.ru