Утврђени су добитници годишњих награда Пвние Авардс 2021, који истичу најзначајније рањивости и апсурдне пропусте у области рачунарске безбедности. Пвние награде се сматрају еквивалентом Оскара и Златне малине у компјутерској безбедности.
Главни победници (списак кандидата):
- Боља рањивост ескалације привилегија. Победа је додељена Куалису за идентификацију рањивости ЦВЕ-2021-3156 у судо услужном програму, који омогућава добијање роот привилегија. Рањивост је присутна у коду око 10 година и значајна је по томе што је била потребна детаљна анализа логике услужног програма да би се идентификовала.
- Најбоља грешка на серверу. Додељује се за идентификацију и искоришћавање технички најсложеније и најинтересантније грешке у мрежној услузи. Победа је додељена за идентификовање новог вектора напада на Мицрософт Екцханге. Нису објављене информације о свим рањивостима ове класе, али су већ објављене информације о рањивости ЦВЕ-2021-26855 (ПрокиЛогон), која омогућава извлачење података од произвољног корисника без аутентификације, и ЦВЕ-2021-27065, која чини могуће је извршити ваш код на серверу са администраторским правима.
- Најбољи криптографски напад. Додељује се за идентификовање најзначајнијих недостатака у стварним системима, протоколима и алгоритмима за шифровање. Награда је додељена Мајкрософту за рањивост (ЦВЕ-2020-0601) у примени дигиталних потписа елиптичке криве који би могли да генеришу приватне кључеве из јавних кључева. Проблем је омогућио креирање лажних ТЛС сертификата за ХТТПС и фиктивних дигиталних потписа, који су у Виндовс-у верификовани као поуздани.
- Најиновативније истраживање. Награда је додељена истраживачима који су предложили БлиндСиде метод за заобилажење заштите засноване на рандомизацији адреса (АСЛР) коришћењем цурења бочних канала која су резултат спекулативног извршавања инструкција од стране процесора.
- Највећи неуспех (Мост Епиц ФАИЛ). Награда је додељена Мицрософту за вишеструко издање поквареног поправка за рањивост ПринтНигхтмаре (ЦВЕ-2021-34527) у Виндовс систему за штампање која вам омогућава да извршите свој код. У почетку, Мицрософт је проблем означио као локални, али се онда испоставило да се напад може извести на даљину. Затим је Мицрософт објавио ажурирања четири пута, али сваки пут је поправка затворила само посебан случај, а истраживачи су пронашли нови начин за извођење напада.
- Најбоља грешка у клијентском софтверу. Победник је био истраживач који је идентификовао ЦВЕ-2020-28341 рањивост у сигурним Самсунг крипто процесорима који су добили безбедносни сертификат ЦЦ ЕАЛ 5+. Рањивост је омогућила да се потпуно заобиђе заштита и добије приступ коду који се извршава на чипу и подацима ускладиштеним у енклави, заобиђе закључавање чувара екрана, као и да се изврши промена фирмвера како би се створила скривена позадинска врата.
- Највише потцењена рањивост. Награда је додељена компанији Куалис за идентификацију серије 21Наилс рањивости на Еким серверу поште, од којих се 10 може искористити на даљину. Програмери Еким-а су били скептични у погледу могућности искоришћавања проблема и провели су више од 6 месеци развијајући исправке.
- Најслабија реакција произвођача (Ламест Вендор Респонсе). Номинација за најнеприкладнији одговор на пријаву рањивости у сопственом производу. Победник је био Целлебрите, компанија која гради апликације за форензичку анализу и рударење података за спровођење закона. Целлебрите је неприкладно одговорио на извештај о рањивости који је објавио Мокие Марлинспике, аутор протокола Сигнал. Моки се заинтересовао за Целлебрите након медијског чланка о стварању технологије која омогућава хаковање шифрованих порука Сигнал, за које се касније показало да су лажне због погрешног тумачења информација у чланку на веб страници Целлебрите, који је потом уклоњен (“ напад” захтевао је физички приступ телефону и могућност откључавања екрана, односно сведен на преглед порука у месинџеру, али не ручно, већ помоћу посебне апликације која симулира радње корисника).
Мокки је проучавао Целлебрите апликације и тамо пронашао критичне рањивости које су омогућавале извршавање произвољног кода приликом покушаја скенирања посебно дизајнираних података. Такође је утврђено да апликација Целлебрите користи застарелу ффмпег библиотеку која није ажурирана 9 година и садржи велики број незакрпљених рањивости. Уместо да призна проблеме и отклони проблеме, Целлебрите је издао изјаву да брине о интегритету корисничких података, одржава безбедност својих производа на одговарајућем нивоу, објављује редовна ажурирања и испоручује најбоље апликације те врсте.
- Највеће достигнуће. Награда је додељена Илфаку Гилфанову, аутору ИДА дисассемблера и Хек-Раис декомпајлера, за његов допринос развоју алата за истраживаче безбедности и његову способност да одржи производ ажурним 30 година.
Извор: опеннет.ру