Washindi wa Tuzo za kila mwaka za Pwnie 2021 wamebainishwa, na kuangazia udhaifu mkubwa zaidi na mapungufu ya kipuuzi katika uwanja wa usalama wa kompyuta. Tuzo za Pwnie zinachukuliwa kuwa sawa na Oscars na Golden Raspberry katika usalama wa kompyuta.
Washindi wakuu (orodha ya wagombea):
- Uwezekano bora wa kuongezeka kwa fursa. Ushindi huo ulitolewa kwa Qualys kwa kutambua uwezekano wa CVE-2021-3156 katika matumizi ya sudo, ambayo inaruhusu kupata haki za mizizi. Athari hii imekuwepo katika msimbo kwa takriban miaka 10 na inajulikana kwa kuwa uchambuzi wa kina wa mantiki ya matumizi ulihitajika ili kuitambua.
- Mdudu bora wa seva. Hutolewa kwa kutambua na kutumia hitilafu changamano na ya kuvutia kitaalam katika huduma ya mtandao. Ushindi huo ulitolewa kwa kutambua vekta mpya ya mashambulizi kwenye Microsoft Exchange. Maelezo kuhusu si udhaifu wote wa darasa hili yamechapishwa, lakini maelezo tayari yamefichuliwa kuhusu uwezekano wa CVE-2021-26855 (ProxyLogon), ambayo inaruhusu kutoa data kutoka kwa mtumiaji kiholela bila uthibitishaji, na CVE-2021-27065, ambayo hufanya. inawezekana kutekeleza nambari yako kwenye seva iliyo na haki za msimamizi.
- Shambulio bora la kriptografia. Hutolewa kwa kutambua dosari muhimu zaidi katika mifumo halisi, itifaki na kanuni za usimbaji fiche. Tuzo hiyo ilitolewa kwa Microsoft kwa uwezekano wa kuathiriwa (CVE-2020-0601) katika utekelezaji wa sahihi za kidijitali za curve ambazo zinaweza kutoa funguo za kibinafsi kutoka kwa funguo za umma. Tatizo liliruhusu uundaji wa vyeti feki vya TLS vya HTTPS na sahihi za kidijitali za uwongo, ambazo zilithibitishwa katika Windows kuwa za kuaminika.
- Utafiti wa ubunifu zaidi. Tuzo hiyo ilitolewa kwa watafiti waliopendekeza mbinu ya BlindSide ya kupuuza ulinzi wa anwani nasibu (ASLR) kwa kutumia uvujaji wa idhaa ya kando kutokana na utekelezaji wa kubahatisha wa maagizo na kichakataji.
- Kushindwa kubwa zaidi (Most Epic FAIL). Tuzo hiyo ilitolewa kwa Microsoft kwa ajili ya kurekebisha matoleo mengi kwa udhaifu wa PrintNightmare (CVE-2021-34527) katika mfumo wa uchapishaji wa Windows unaokuruhusu kutekeleza msimbo wako. Mwanzoni, Microsoft iliripoti shida kama ya kawaida, lakini ikawa kwamba shambulio hilo linaweza kufanywa kwa mbali. Kisha Microsoft ilichapisha sasisho mara nne, lakini kila wakati marekebisho yalifunga kesi maalum tu, na watafiti walipata njia mpya ya kutekeleza shambulio hilo.
- Mdudu bora katika programu ya mteja. Aliyeshinda ni mtafiti aliyetambua uwezekano wa kuathiriwa na CVE-2020-28341 katika vichakataji salama vya Samsung crypto vilivyopokea cheti cha usalama cha CC EAL 5+. Athari hiyo ilifanya iwezekane kukwepa ulinzi kabisa na kupata ufikiaji wa msimbo uliotekelezwa kwenye chip na data iliyohifadhiwa kwenye enclave, kukwepa kufuli ya kiokoa skrini, na pia kufanya mabadiliko kwenye programu dhibiti ili kuunda mlango uliofichwa.
- Athari iliyopuuzwa zaidi. Tuzo hiyo ilitolewa kwa Qualys kwa kutambua mfululizo wa udhaifu wa 21Nails katika seva ya barua pepe ya Exim, 10 kati yake ambayo inaweza kutumika kwa mbali. Wasanidi wa Exim walikuwa na mashaka juu ya uwezekano wa kutumia shida na walitumia zaidi ya miezi 6 kutengeneza marekebisho.
- Mwitikio wa lamer zaidi wa mtengenezaji (Majibu ya Lamest Vendor). Uteuzi wa jibu lisilofaa zaidi kwa ripoti ya athari katika bidhaa ya mtu mwenyewe. Mshindi alikuwa Cellebrite, kampuni inayounda uchambuzi wa kitaalamu na maombi ya uchimbaji wa data kwa ajili ya utekelezaji wa sheria. Cellebrite alijibu isivyofaa ripoti ya uwezekano wa kuathiriwa iliyochapishwa na Moxie Marlinspike, mwandishi wa itifaki ya Mawimbi. Moxxi alipendezwa na Cellebrite baada ya nakala ya media juu ya uundaji wa teknolojia ambayo inaruhusu udukuzi wa ujumbe uliosimbwa wa Signal, ambao baadaye uligeuka kuwa bandia kwa sababu ya tafsiri potofu ya habari katika nakala kwenye wavuti ya Cellebrite, ambayo iliondolewa (" shambulio hiloβ lilihitaji ufikiaji wa mwili kwa simu na uwezo wa kufungua skrini, i.e. kupunguzwa kwa kutazama ujumbe kwenye mjumbe, lakini sio kwa mikono, lakini kwa kutumia programu maalum inayoiga vitendo vya mtumiaji).
Moxxi alisoma maombi ya Cellebrite na akapata udhaifu mkubwa hapo ambao uliruhusu msimbo kiholela kutekelezwa wakati wa kujaribu kuchanganua data iliyoundwa mahususi. Programu ya Cellebrite pia iligunduliwa kuwa inatumia maktaba ya zamani ya ffmpeg ambayo haijasasishwa kwa miaka 9 na ina idadi kubwa ya udhaifu ambao haujarekebishwa. Badala ya kukiri matatizo na kurekebisha matatizo, Cellebrite imetoa taarifa kwamba inajali kuhusu uadilifu wa data ya mtumiaji, hudumisha usalama wa bidhaa zake katika kiwango kinachofaa, hutoa sasisho za mara kwa mara na hutoa maombi bora ya aina yake.
- Mafanikio makubwa zaidi. Tuzo hiyo ilitolewa kwa Ilfak Gilfanov, mwandishi wa disassembler ya IDA na Hex-Rays decompiler, kwa mchango wake katika maendeleo ya zana za watafiti wa usalama na uwezo wake wa kusasisha bidhaa kwa miaka 30.
Chanzo: opennet.ru