Vinnarna av de årliga Pwnie Awards 2021 har tillkännagetts, vilket lyfter fram de mest betydande sårbarheterna och absurda misslyckanden inom datorsäkerhet. Pwnie Awards anses vara motsvarigheten till Oscarsgalan och Golden Raspberries inom området datorsäkerhet.
Huvudvinnare (lista över utmanare):
- Bästa sårbarheten som leder till privilegieeskalering. Segern tilldelades Qualys för att ha identifierat sårbarheten CVE-2021-3156 i sudo-verktyget, som låter dig få root-privilegier. Sårbarheten fanns i koden i cirka 10 år och är anmärkningsvärd genom att identifiera den krävde en grundlig analys av verktygets logik.
- Bästa serverbuggen. Tilldelas för att identifiera och utnyttja den mest tekniskt komplexa och intressanta buggen i en nätverkstjänst. Segern tilldelades för att identifiera en ny vektor av attacker på Microsoft Exchange. Information om inte alla sårbarheter i den här klassen har publicerats, men information har redan avslöjats om sårbarheten CVE-2021-26855 (ProxyLogon), som låter dig extrahera data från en godtycklig användare utan autentisering, och CVE-2021-27065 , vilket gör det möjligt att köra din kod på en server med administratörsrättigheter.
- Den bästa kryptografiska attacken. Tilldelas för att identifiera de mest betydande luckorna i verkliga system, protokoll och krypteringsalgoritmer. Priset tilldelades Microsoft för en sårbarhet (CVE-2020-0601) i implementeringen av digitala signaturer baserade på elliptiska kurvor, vilket möjliggör generering av privata nycklar baserade på offentliga nycklar. Problemet möjliggjorde skapandet av falska TLS-certifikat för HTTPS och fiktiva digitala signaturer som verifierades som pålitliga av Windows.
- Den mest innovativa forskningen någonsin. Priset delades ut till forskare som föreslog BlindSide-metoden för att kringgå adressbaserat randomiseringsskydd (ASLR) genom att använda sidokanalläckor till följd av spekulativ processorexekvering av instruktioner.
- Det största misslyckandet (Most Epic FAIL). Priset tilldelades Microsoft för att upprepade gånger släppa en trasig fix för sårbarheten PrintNightmare (CVE-2021-34527) i Windows-utskriftssystemet som möjliggjorde kodexekvering. Microsoft flaggade till en början problemet som lokalt, men sedan visade det sig att attacken kunde utföras på distans. Sedan publicerade Microsoft uppdateringar fyra gånger, men varje gång korrigeringen stängde bara ett specialfall och forskarna hittade ett nytt sätt att utföra attacken.
- Den bästa buggen i klientprogramvaran. Vinnaren var forskaren som identifierade CVE-2020-28341-sårbarheten i Samsungs säkra kryptoprocessorer, som fick ett CC EAL 5+ säkerhetscertifikat. Sårbarheten gjorde det möjligt att helt kringgå säkerheten och få tillgång till koden som körs på chipet och data lagrad i enklaven, kringgå skärmsläckarlåset och även göra ändringar i firmware för att skapa en dold bakdörr.
- Den mest underskattade sårbarheten. Priset tilldelades Qualys för att ha identifierat en serie 21Nails-sårbarheter i Exims e-postserver, varav 10 kan utnyttjas på distans. Exim-utvecklarna var skeptiska till att problemen kunde utnyttjas och spenderade över 6 månader på att utveckla korrigeringar.
- Senaste leverantörens svar. Nominering för det mest otillräckliga svaret på ett meddelande om en sårbarhet i din egen produkt. Vinnaren var Cellebrite, ett företag som skapar applikationer för kriminalteknisk analys och datautvinning av brottsbekämpande myndigheter. Cellebrite svarade inte adekvat på en sårbarhetsrapport skickad av Moxie Marlinspike, författaren till Signalprotokollet. Moxey blev intresserad av Cellebrite efter publiceringen i media av en notis om skapandet av en teknik som tillåter hackning av krypterade signalmeddelanden, vilket senare visade sig vara ett falskt på grund av felaktig tolkning av information i en artikel på Cellebrites webbplats, som var togs sedan bort ("attacken" krävde fysisk åtkomst till telefonen och möjligheten att ta bort låsskärmen, d.v.s. den reducerades till att visa meddelanden i messenger, men inte manuellt, utan med hjälp av en speciell applikation som simulerar användaråtgärder).
Moxey studerade Cellebrite-applikationer och hittade där kritiska sårbarheter som gjorde att godtycklig kod kunde exekveras när man försökte skanna specialdesignad data. Cellebrite-applikationen visade sig också använda ett föråldrat ffmpeg-bibliotek som inte hade uppdaterats på 9 år och som innehöll ett stort antal opatchade sårbarheter. Istället för att erkänna problemen och åtgärda problemen, utfärdade Cellebrite ett uttalande att det bryr sig om integriteten hos användardata, upprätthåller säkerheten för sina produkter på rätt nivå, släpper regelbundet uppdateringar och levererar de bästa applikationerna i sitt slag.
- Den största bedriften. Priset tilldelades Ilfak Gilfanov, författare till IDA-disassemblern och Hex-Rays-dekompilatorn, för hans bidrag till utvecklingen av verktyg för säkerhetsforskare och hans förmåga att upprätthålla en uppdaterad produkt i 30 år.
Källa: opennet.ru