Določeni so zmagovalci letnih nagrad Pwnie Awards 2021, ki poudarjajo najpomembnejše ranljivosti in absurdne napake na področju računalniške varnosti. Nagrade Pwnie veljajo za enakovredne oskarjem in zlati malini na področju računalniške varnosti.
Glavni zmagovalci (seznam kandidatov):
- Boljša ranljivost stopnjevanja privilegijev. Zmaga je bila podeljena podjetju Qualys za identifikacijo ranljivosti CVE-2021-3156 v pripomočku sudo, ki omogoča pridobitev korenskih pravic. Ranljivost je v kodi prisotna že približno 10 let in je opazna po tem, da je bila za njeno identifikacijo potrebna temeljita analiza logike pripomočka.
- Najboljša napaka strežnika. Podeljeno za prepoznavanje in izkoriščanje tehnično najbolj zapletenega in zanimivega hrošča v omrežni storitvi. Zmaga je bila podeljena za identifikacijo novega vektorja napadov na Microsoft Exchange. Informacije o vseh ranljivostih tega razreda niso bile objavljene, so pa že bile razkrite informacije o ranljivosti CVE-2021-26855 (ProxyLogon), ki omogoča pridobivanje podatkov od poljubnega uporabnika brez avtentikacije, in CVE-2021-27065, ki povzroči možno je izvesti vašo kodo na strežniku s skrbniškimi pravicami.
- Najboljši kriptografski napad. Podeljeno za odkrivanje najpomembnejših napak v resničnih sistemih, protokolih in šifrirnih algoritmih. Nagrado je prejel Microsoft za ranljivost (CVE-2020-0601) pri implementaciji digitalnih podpisov eliptične krivulje, ki bi lahko generirala zasebne ključe iz javnih ključev. Težava je omogočala ustvarjanje lažnih TLS potrdil za HTTPS in fiktivne digitalne podpise, ki so bili v sistemu Windows preverjeni kot zaupanja vredni.
- Najbolj inovativna raziskava. Nagrada je bila podeljena raziskovalcem, ki so predlagali metodo BlindSide za obhod zaščite na podlagi vzvoda na podlagi naključnega naslova (ASLR) z uporabo uhajanja stranskih kanalov, ki je posledica špekulativnega izvajanja navodil s strani procesorja.
- Največji neuspeh (Most Epic FAIL). Nagrado je prejel Microsoft za pokvarjen popravek večkratne izdaje za ranljivost PrintNightmare (CVE-2021-34527) v tiskalniškem sistemu Windows, ki vam omogoča izvajanje kode. Sprva je Microsoft težavo označil kot lokalno, nato pa se je izkazalo, da je napad mogoče izvesti na daljavo. Nato je Microsoft štirikrat objavil posodobitve, vendar je vsakič popravek zaprl le poseben primer in raziskovalci so našli nov način za izvedbo napada.
- Najboljša napaka v odjemalski programski opremi. Zmagovalec je bil raziskovalec, ki je prepoznal ranljivost CVE-2020-28341 v varnih kripto procesorjih Samsung, ki so prejeli varnostno potrdilo CC EAL 5+. Ranljivost je omogočila popoln obhod zaščite in pridobitev dostopa do kode, ki se izvaja na čipu, in podatkov, shranjenih v enklavi, obhod zaklepanja ohranjevalnika zaslona in tudi spreminjanje vdelane programske opreme za ustvarjanje skritih stranskih vrat.
- Najbolj podcenjena ranljivost. Nagrada je bila podeljena podjetju Qualys za identifikacijo niza ranljivosti 21Nails v poštnem strežniku Exim, od katerih jih je bilo 10 mogoče izkoristiti na daljavo. Razvijalci Exima so bili skeptični glede možnosti izkoriščanja težav in so porabili več kot 6 mesecev za razvoj popravkov.
- Najbolj lamerna reakcija proizvajalca (Lamest Vendor Response). Nominacija za najbolj neprimeren odziv na poročilo o ranljivosti v lastnem produktu. Zmagovalec je bil Cellebrite, podjetje, ki gradi aplikacije za forenzično analizo in podatkovno rudarjenje za organe pregona. Cellebrite se je neustrezno odzval na poročilo o ranljivosti, ki ga je objavila Moxie Marlinspike, avtorica protokola Signal. Moxxi se je za Cellebrite začel zanimati po medijskem članku o ustvarjanju tehnologije, ki omogoča vdiranje v šifrirana sporočila Signal, ki se je kasneje izkazalo za lažno zaradi napačne interpretacije informacij v članku na spletni strani Cellebrite, ki je bil nato odstranjen (“ napad« je zahteval fizični dostop do telefona in možnost odklepanja zaslona, tj. zmanjšano na ogledovanje sporočil v messengerju, vendar ne ročno, temveč s posebno aplikacijo, ki simulira dejanja uporabnika).
Moxxi je preučeval aplikacije Cellebrite in tam našel kritične ranljivosti, ki so omogočale izvajanje poljubne kode pri poskusu skeniranja posebej zasnovanih podatkov. Ugotovljeno je bilo tudi, da aplikacija Cellebrite uporablja zastarelo knjižnico ffmpeg, ki ni bila posodobljena že 9 let in vsebuje veliko število nezakrpanih ranljivosti. Namesto da bi priznal težave in jih odpravil, je Cellebrite izdal izjavo, da skrbi za celovitost uporabniških podatkov, vzdržuje varnost svojih izdelkov na ustrezni ravni, izdaja redne posodobitve in zagotavlja najboljše aplikacije te vrste.
- Največji dosežek. Nagrado je prejel Ilfak Gilfanov, avtor disassemblerja IDA in decompilerja Hex-Rays, za njegov prispevek k razvoju orodij za varnostne raziskovalce in njegovo sposobnost, da izdelek posodablja 30 let.
Vir: opennet.ru