Her yıl düzenlenen Pwnie Awards 2021'in kazananları, bilgisayar güvenliği alanındaki en önemli güvenlik açıkları ve absürt başarısızlıklar vurgulanarak belirlendi. Pwnie Ödülleri, bilgisayar güvenliğinde Oscar ve Altın Ahududu ile eşdeğer kabul ediliyor.
Ana kazananlar (yarışma listesi):
- Daha iyi ayrıcalık yükseltme güvenlik açığı. Qualys, sudo yardımcı programında kök ayrıcalıkları elde etmeye izin veren CVE-2021-3156 güvenlik açığını tanımladığı için zafer kazandı. Güvenlik açığı, kodda yaklaşık 10 yıldır mevcuttur ve onu tanımlamak için yardımcı programın mantığının kapsamlı bir analizinin gerekli olması nedeniyle dikkat çekicidir.
- En İyi Sunucu Hatası. Bir ağ hizmetindeki teknik olarak en karmaşık ve ilginç hatayı tespit edip istismar etmeye verilir. Zafer, Microsoft Exchange'de yeni bir saldırı vektörü tespit ettiği için verildi. Bu sınıfın tüm güvenlik açıkları hakkında bilgi yayınlanmadı, ancak rastgele bir kullanıcıdan kimlik doğrulaması olmadan veri çıkarmaya izin veren CVE-2021-26855 (ProxyLogon) ve CVE-2021-27065 güvenlik açığı hakkında bilgiler zaten açıklandı. kodunuzu yönetici haklarına sahip bir sunucuda yürütmek mümkündür.
- En iyi kriptografik saldırı. Gerçek sistemler, protokoller ve şifreleme algoritmalarındaki en önemli kusurları tespit etmeye verilir. Ödül, ortak anahtarlardan özel anahtarlar üretebilen eliptik eğri dijital imzaların uygulanmasındaki bir güvenlik açığı (CVE-2020-0601) nedeniyle Microsoft'a verildi. Sorun, HTTPS için sahte TLS sertifikalarının ve Windows'ta güvenilir olduğu doğrulanan hayali dijital imzaların oluşturulmasına izin verdi.
- En yenilikçi araştırma. Ödül, komutların işlemci tarafından spekülatif olarak yürütülmesinden kaynaklanan yan kanal sızıntılarını kullanarak adres rastgeleleştirme tabanlı (ASLR) korumayı atlamak için BlindSide yöntemini öneren araştırmacılara verildi.
- En büyük başarısızlık (En Epik BAŞARISIZLIK). Ödül, Windows yazdırma sistemindeki kodunuzu çalıştırmanıza olanak tanıyan PrintNightmare (CVE-2021-34527) güvenlik açığı için birden çok sürümde bozuk düzeltme yaptığı için Microsoft'a verildi. Microsoft ilk başta sorunu yerel olarak işaretledi, ancak daha sonra saldırının uzaktan gerçekleştirilebileceği ortaya çıktı. Ardından Microsoft dört kez güncellemeler yayınladı, ancak her seferinde düzeltme yalnızca özel bir durumu kapattı ve araştırmacılar saldırıyı gerçekleştirmenin yeni bir yolunu buldu.
- İstemci yazılımındaki en iyi hata. Kazanan, CC EAL 2020+ güvenlik sertifikası alan güvenli Samsung kripto işlemcilerindeki CVE-28341-5 güvenlik açığını tespit eden araştırmacı oldu. Güvenlik açığı, korumayı tamamen atlamayı ve çipte yürütülen koda ve yerleşim bölgesinde depolanan verilere erişmeyi, ekran koruyucu kilidini atlamayı ve ayrıca gizli bir arka kapı oluşturmak için ürün yazılımında değişiklikler yapmayı mümkün kıldı.
- En hafife alınan güvenlik açığı. Ödül, Exim posta sunucusunda 21 tanesi uzaktan istismar edilebilecek bir dizi 10Nails güvenlik açığını tespit ettiği için Qualys'e verildi. Exim geliştiricileri, sorunlardan yararlanma olasılığına şüpheyle yaklaştılar ve düzeltmeleri geliştirmek için 6 aydan fazla zaman harcadılar.
- Üreticinin en yavan tepkisi (En Lamest Vendor Response). Kişinin kendi ürünündeki bir güvenlik açığı raporuna en uygunsuz yanıt için aday gösterilmesi. Kazanan, kolluk kuvvetleri için adli analiz ve veri madenciliği uygulamaları geliştiren bir şirket olan Cellebrite oldu. Cellebrite, Signal protokolünün yazarı Moxie Marlinspike tarafından yayınlanan bir güvenlik açığı raporuna uygunsuz bir şekilde yanıt verdi. Moxxi, daha sonra Cellebrite web sitesindeki bir makaledeki bilgilerin yanlış yorumlanması nedeniyle sahte olduğu ortaya çıkan ve daha sonra kaldırılan şifrelenmiş Signal mesajlarının hacklenmesine izin veren bir teknolojinin oluşturulmasına ilişkin bir medya makalesinden sonra Cellebrite ile ilgilenmeye başladı (“ saldırı", telefona fiziksel erişim ve ekran kilidini açma yeteneği gerektiriyordu, yani manuel olarak değil, kullanıcı eylemlerini simüle eden özel bir uygulama kullanarak mesajlaşma uygulamasındaki mesajları görüntülemeye indirgenmişti).
Moxxi, Cellebrite uygulamalarını inceledi ve burada, özel olarak tasarlanmış verileri taramaya çalışırken rasgele kodun yürütülmesine izin veren kritik güvenlik açıkları buldu. Cellebrite uygulamasının ayrıca 9 yıldır güncellenmeyen ve çok sayıda yamalanmamış güvenlik açığı içeren eski bir ffmpeg kitaplığı kullandığı da tespit edildi. Cellebrite sorunları kabul edip düzeltmek yerine kullanıcı verilerinin bütünlüğünü önemsediğini, ürünlerinin güvenliğini uygun seviyede tuttuğunu, düzenli güncellemeler yayınladığını ve türünün en iyi uygulamalarını sunduğuna dair bir açıklama yayınladı.
- En büyük başarı. Ödül, güvenlik araştırmacıları için araçların geliştirilmesine yaptığı katkı ve ürünü 30 yıl boyunca güncel tutma becerisi nedeniyle IDA ayrıştırıcı ve Hex-Rays kod çözücünün yazarı Ilfak Gilfanov'a verildi.
Kaynak: opennet.ru