Natukoy na ang mga nanalo sa taunang Pwnie Awards 2021, na itinatampok ang mga pinakamahalagang kahinaan at walang katotohanan na mga pagkabigo sa larangan ng seguridad ng computer. Ang Pwnie Awards ay itinuturing na katumbas ng Oscars at ng Golden Raspberry sa seguridad ng computer.
Mga pangunahing nanalo (listahan ng mga contenders):
- Mas mahusay na kahinaan sa pagdami ng pribilehiyo. Ang tagumpay ay iginawad sa Qualys para sa pagtukoy sa kahinaan ng CVE-2021-3156 sa sudo utility, na nagpapahintulot sa pagkuha ng mga pribilehiyo sa ugat. Ang kahinaan ay naroroon sa code sa loob ng humigit-kumulang 10 taon at kapansin-pansin sa katotohanan na ang isang masusing pagsusuri ng lohika ng utility ay kinakailangan upang makilala ito.
- Pinakamahusay na Server Bug. Iginawad para sa pagtukoy at pagsasamantala sa pinaka teknikal na kumplikado at kawili-wiling bug sa isang serbisyo ng network. Ang tagumpay ay iginawad para sa pagtukoy ng isang bagong vector ng mga pag-atake sa Microsoft Exchange. Ang impormasyon tungkol sa hindi lahat ng mga kahinaan ng klase na ito ay nai-publish, ngunit ang impormasyon ay naibunyag na tungkol sa kahinaan na CVE-2021-26855 (ProxyLogon), na nagpapahintulot sa pagkuha ng data mula sa isang arbitrary na user nang walang pagpapatotoo, at CVE-2021-27065, na ginagawang posible na isagawa ang iyong code sa isang server na may mga karapatan ng administrator.
- Ang pinakamahusay na cryptographic na pag-atake. Iginawad para sa pagtukoy sa mga pinakamahahalagang pagkukulang sa mga totoong system, protocol, at algorithm ng pag-encrypt. Ang parangal ay ibinigay sa Microsoft para sa isang kahinaan (CVE-2020-0601) sa pagpapatupad ng mga elliptic curve digital signature na maaaring makabuo ng mga pribadong key mula sa mga pampublikong key. Pinahintulutan ng problema ang paglikha ng mga pekeng TLS certificate para sa HTTPS at mga gawa-gawang digital na lagda, na na-verify sa Windows bilang mapagkakatiwalaan.
- Karamihan sa mga makabagong pananaliksik. Ibinigay ang parangal sa mga mananaliksik na nagmungkahi ng BlindSide na pamamaraan para sa pag-bypass sa proteksyon ng Address Randomization Based Leverage (ASLR) sa pamamagitan ng paggamit ng side-channel na mga leaks na nagreresulta mula sa speculative execution ng mga tagubilin ng processor.
- Ang pinakamalaking kabiguan (Most Epic FAIL). Ibinigay ang award sa Microsoft para sa multiple-release na sirang pag-aayos para sa kahinaan ng PrintNightmare (CVE-2021-34527) sa Windows printing system na nagbibigay-daan sa iyong isagawa ang iyong code. Sa una, na-flag ng Microsoft ang problema bilang lokal, ngunit pagkatapos ay lumabas na ang pag-atake ay maaaring isagawa nang malayuan. Pagkatapos ay nai-publish ng Microsoft ang mga update ng apat na beses, ngunit sa bawat oras na ang pag-aayos ay nagsasara lamang ng isang espesyal na kaso, at ang mga mananaliksik ay nakahanap ng isang bagong paraan upang isagawa ang pag-atake.
- Pinakamahusay na bug sa software ng kliyente. Ang nanalo ay ang mananaliksik na natukoy ang kahinaan ng CVE-2020-28341 sa mga secure na Samsung crypto processor na nakatanggap ng CC EAL 5+ security certificate. Ang kahinaan ay naging posible na ganap na ma-bypass ang proteksyon at makakuha ng access sa code na naisakatuparan sa chip at data na nakaimbak sa enclave, i-bypass ang screen saver lock, at gumawa din ng mga pagbabago sa firmware upang lumikha ng isang nakatagong backdoor.
- Ang pinaka-underestimated na kahinaan. Ang award ay ibinigay sa Qualys para sa pagtukoy ng isang serye ng mga 21Nails na kahinaan sa Exim mail server, 10 sa mga ito ay maaaring mapagsamantalahan nang malayuan. Ang mga developer ng Exim ay nag-aalinlangan tungkol sa posibilidad ng pagsasamantala sa mga problema at gumugol ng higit sa 6 na buwan sa pagbuo ng mga pag-aayos.
- Ang pinaka-lamer na reaksyon ng tagagawa (Lamest Vendor Response). Nominasyon para sa pinaka-hindi naaangkop na tugon sa isang ulat ng kahinaan sa sariling produkto. Ang nagwagi ay ang Cellebrite, isang kumpanya na bumuo ng forensic analysis at data mining application para sa pagpapatupad ng batas. Hindi naaangkop na tumugon ang Cellebrite sa isang ulat sa kahinaan na nai-post ni Moxie Marlinspike, may-akda ng Signal protocol. Naging interesado si Moxxi sa Cellebrite pagkatapos ng isang artikulo sa media tungkol sa paglikha ng isang teknolohiya na nagbibigay-daan sa pag-hack ng mga naka-encrypt na mensahe ng Signal, na sa kalaunan ay naging peke dahil sa maling interpretasyon ng impormasyon sa isang artikulo sa website ng Cellebrite, na pagkatapos ay inalis (β ang pag-atake" ay nangangailangan ng pisikal na pag-access sa telepono at ang kakayahang i-unlock ang screen, ibig sabihin, nabawasan sa pagtingin sa mga mensahe sa messenger, ngunit hindi nang manu-mano, ngunit gamit ang isang espesyal na application na ginagaya ang mga pagkilos ng user).
Pinag-aralan ni Moxxi ang mga aplikasyon ng Cellebrite at nakakita ng mga kritikal na kahinaan doon na nagpapahintulot sa arbitrary na code na maisagawa kapag sinusubukang mag-scan ng data na espesyal na idinisenyo. Ang Cellebrite application ay natagpuan din na gumagamit ng isang lumang ffmpeg library na hindi na-update sa loob ng 9 na taon at naglalaman ng malaking bilang ng mga hindi na-patch na kahinaan. Sa halip na kilalanin ang mga problema at ayusin ang mga problema, naglabas ang Cellebrite ng pahayag na nagmamalasakit ito sa integridad ng data ng user, pinapanatili ang seguridad ng mga produkto nito sa tamang antas, naglalabas ng mga regular na update at naghahatid ng pinakamahusay na mga application ng uri nito.
- Ang pinakamalaking tagumpay. Ang parangal ay ibinigay kay Ilfak Gilfanov, may-akda ng IDA disassembler at Hex-Rays decompiler, para sa kanyang kontribusyon sa pagbuo ng mga tool para sa mga mananaliksik ng seguridad at ang kanyang kakayahang panatilihing napapanahon ang produkto sa loob ng 30 taon.
Pinagmulan: opennet.ru