Fituesit e çmimeve vjetore Pwnie 2021 janë përcaktuar, duke nxjerrë në pah dobësitë më të rëndësishme dhe dështimet absurde në fushën e sigurisë kompjuterike. Çmimet Pwnie konsiderohen si ekuivalenti i Oscars dhe Mjedrës së Artë në sigurinë kompjuterike.
Fituesit kryesorë (lista e pretendentëve):
- Dobësi më e mirë e përshkallëzimit të privilegjeve. Fitorja iu dha Qualys për identifikimin e cenueshmërisë CVE-2021-3156 në programin sudo, i cili lejon marrjen e privilegjeve të rrënjës. Dobësia ka qenë e pranishme në kod për rreth 10 vjet dhe është e dukshme për faktin se për identifikimin e tij kërkohej një analizë e plotë e logjikës së shërbimeve.
- Defekti më i mirë i serverit. Çmuar për identifikimin dhe shfrytëzimin e gabimeve më komplekse dhe interesante teknikisht në një shërbim rrjeti. Fitorja u dha për identifikimin e një vektori të ri të sulmeve në Microsoft Exchange. Informacioni për jo të gjitha dobësitë e kësaj klase është publikuar, por informacioni është zbuluar tashmë në lidhje me cenueshmërinë CVE-2021-26855 (ProxyLogon), e cila lejon nxjerrjen e të dhënave nga një përdorues arbitrar pa vërtetim, dhe CVE-2021-27065, që bën është e mundur të ekzekutoni kodin tuaj në një server me të drejta administratori.
- Sulmi më i mirë kriptografik. I dhënë për identifikimin e të metave më të rëndësishme në sistemet reale, protokollet dhe algoritmet e kriptimit. Çmimi iu dha Microsoft-it për një dobësi (CVE-2020-0601) në zbatimin e nënshkrimeve dixhitale të kurbës eliptike që mund të gjenerojnë çelësa privatë nga çelësat publikë. Problemi lejoi krijimin e certifikatave të rreme TLS për HTTPS dhe nënshkrimeve dixhitale fiktive, të cilat u verifikuan në Windows si të besueshme.
- Hulumtimi më inovativ. Çmimi iu dha studiuesve që propozuan metodën BlindSide për anashkalimin e mbrojtjes së bazuar në rastësi të adresave (ASLR) duke përdorur rrjedhjet e kanalit anësor që rezultojnë nga ekzekutimi spekulativ i udhëzimeve nga procesori.
- Dështimi më i madh (Most Epic FAIL). Çmimi iu dha Microsoft-it për rregullimin e prishur me lëshime të shumëfishta për cenueshmërinë PrintNightmare (CVE-2021-34527) në sistemin e printimit Windows që ju lejon të ekzekutoni kodin tuaj. Në fillim, Microsoft e shënoi problemin si lokal, por më pas doli që sulmi mund të kryhej nga distanca. Më pas Microsoft publikoi përditësime katër herë, por çdo herë rregullimi mbyllte vetëm një rast të veçantë dhe studiuesit gjetën një mënyrë të re për të kryer sulmin.
- Gabimi më i mirë në softuerin e klientit. Fituesi ishte studiuesi që identifikoi cenueshmërinë CVE-2020-28341 në procesorët e sigurt të kriptove Samsung që morën një certifikatë sigurie CC EAL 5+. Dobësia bëri të mundur anashkalimin e plotë të mbrojtjes dhe fitimin e aksesit në kodin e ekzekutuar në çip dhe të dhënat e ruajtura në enklavë, anashkalimin e bllokimit të mbrojtësit të ekranit dhe gjithashtu të bëni ndryshime në firmware për të krijuar një derë të pasme të fshehur.
- Dobësia më e nënvlerësuar. Çmimi iu dha Qualys për identifikimin e një serie dobësish 21Nails në serverin e postës Exim, 10 prej të cilave mund të shfrytëzoheshin nga distanca. Zhvilluesit e Exim ishin skeptikë për mundësinë e shfrytëzimit të problemeve dhe shpenzuan më shumë se 6 muaj duke zhvilluar rregullime.
- Reagimi më lamer i prodhuesit (Lamest Vendor Response). Emërimi për përgjigjen më të papërshtatshme ndaj një raporti cenueshmërie në produktin e vet. Fituesi ishte Cellebrite, një kompani që ndërton analiza mjekoligjore dhe aplikacione për nxjerrjen e të dhënave për zbatimin e ligjit. Cellebrite iu përgjigj në mënyrë të papërshtatshme një raporti dobësie të postuar nga Moxie Marlinspike, autore e protokollit Signal. Moxxi u interesua për Cellebrite pas një artikulli mediatik në lidhje me krijimin e një teknologjie që lejon hakerimin e mesazheve të koduara të sinjalit, të cilat më vonë doli të ishin të rreme për shkak të një keqinterpretimi të informacionit në një artikull në faqen e internetit Cellebrite, i cili më pas u hoq (" sulmi” kërkonte akses fizik në telefon dhe aftësinë për të zhbllokuar ekranin, pra reduktuar në shikimin e mesazheve në mesazher, por jo manualisht, por duke përdorur një aplikacion të veçantë që simulon veprimet e përdoruesit).
Moxxi studioi aplikacionet Cellebrite dhe gjeti dobësi kritike atje që lejonin ekzekutimin e kodit arbitrar kur përpiqej të skanonte të dhëna të dizajnuara posaçërisht. Aplikacioni Cellebrite u zbulua gjithashtu se përdor një bibliotekë të vjetëruar ffmpeg që nuk është përditësuar për 9 vjet dhe përmban një numër të madh dobësish të papatchuara. Në vend që të pranojë problemet dhe të rregullojë problemet, Cellebrite ka lëshuar një deklaratë se kujdeset për integritetin e të dhënave të përdoruesit, ruan sigurinë e produkteve të saj në nivelin e duhur, lëshon përditësime të rregullta dhe ofron aplikacionet më të mira të këtij lloji.
- Arritja më e madhe. Çmimi iu dha Ilfak Gilfanov, autor i çmontimit të IDA dhe dekompiluesit Hex-Rays, për kontributin e tij në zhvillimin e mjeteve për studiuesit e sigurisë dhe aftësinë e tij për ta mbajtur produktin të përditësuar për 30 vjet.
Burimi: opennet.ru