Було оголошено переможців щорічної премії Pwnie Awards 2021, які висвітлюють найбільш значні вразливості та абсурдні збої в комп’ютерній безпеці. Премія Pwnie Awards вважається еквівалентом «Оскара» та «Золотої малини» у сфері комп’ютерної безпеки.
Основні переможці (список претендентів):
- Найкраща вразливість, що призводить до підвищення привілеїв. Перемогу присудили Qualys за виявлення уразливості CVE-2021-3156 в утиліті sudo, яка дозволяє отримати root-права. Уразливість була присутня в коді близько 10 років і заслуговує на увагу тим, що її виявлення вимагало ретельного аналізу логіки утиліти.
- Найкращий баг сервера. Присуджується за виявлення та використання найбільш технічно складної та цікавої помилки в мережевій службі. Перемога присуджена за виявлення нового вектора атак на Microsoft Exchange. Інформація не про всі уразливості цього класу опублікована, але вже була розкрита інформація про уразливість CVE-2021-26855 (ProxyLogon), яка дозволяє витягувати дані довільного користувача без аутентифікації, і CVE-2021-27065 , що дає змогу виконувати ваш код на сервері з правами адміністратора.
- Найкраща криптографічна атака. Присуджується за виявлення найбільш суттєвих прогалин у реальних системах, протоколах і алгоритмах шифрування. Нагороду отримала Microsoft за вразливість (CVE-2020-0601) у реалізації цифрових підписів на основі еліптичних кривих, що дозволяє генерувати закриті ключі на основі відкритих ключів. Ця проблема дозволяла створювати фальшиві сертифікати TLS для HTTPS і фіктивні цифрові підписи, які Windows перевіряла як надійні.
- Найбільш інноваційне дослідження в історії. Премія була присуджена дослідникам, які запропонували метод BlindSide для обходу захисту на основі рандомізації на основі адреси (ASLR) за допомогою витоків побічних каналів, що є результатом спекулятивного виконання процесором інструкцій.
- Найбільший провал (Most Epic FAIL). Нагорода була присуджена корпорації Майкрософт за неодноразовий випуск несправного виправлення вразливості PrintNightmare (CVE-2021-34527) у системі друку Windows, яка дозволяла виконувати код. Microsoft спочатку позначила проблему як локальну, але потім виявилося, що атака може бути здійснена віддалено. Тоді Microsoft чотири рази публікувала оновлення, але щоразу виправлення лише закривало окремий випадок, і дослідники знайшли новий спосіб здійснити атаку.
- Найкращий баг у клієнтському ПЗ. Переможцем став дослідник, який виявив уразливість CVE-2020-28341 у захищених криптопроцесорах Samsung, які отримали сертифікат безпеки CC EAL 5+. Уразливість дозволила повністю обійти захист і отримати доступ до коду, що працює на чіпі, і даних, що зберігаються в анклаві, обійти блокування заставки, а також внести зміни в прошивку, щоб створити прихований бекдор.
- Найбільш недооцінена вразливість. Нагорода була присуджена Qualys за виявлення серії вразливостей 21Nails у поштовому сервері Exim, 10 з яких можна використовувати віддалено. Розробники Exim були скептично налаштовані щодо того, що проблеми можна використати, і витратили понад 6 місяців на розробку виправлень.
- Найгірша відповідь постачальника. Номінація за найбільш неадекватну реакцію на повідомлення про вразливість у власному продукті. Переможцем стала компанія Cellebrite, яка створює програми для криміналістичного аналізу та вилучення даних правоохоронними органами. Cellebrite не відповів належним чином на звіт про вразливість, надісланий Моксі Марлінспайком, автором протоколу Signal. Моксі зацікавився Cellebrite після публікації в ЗМІ замітки про створення технології, що дозволяє зламувати зашифровані повідомлення Signal, яка пізніше виявилася фейком через неправильне тлумачення інформації в статті на сайті Cellebrite, яка була потім видалили («атака» вимагала фізичного доступу до телефону та можливості зняти екран блокування, тобто зводилася до перегляду повідомлень у месенджері, але не вручну, а за допомогою спеціального додатку, який імітує дії користувача).
Моксі вивчав додатки Cellebrite і знайшов там критичні вразливості, які дозволяли виконувати довільний код під час спроби сканувати спеціально розроблені дані. Також виявилося, що програма Cellebrite використовує застарілу бібліотеку ffmpeg, яка не оновлювалася 9 років і містила велику кількість невиправлених уразливостей. Замість того, щоб визнати проблеми та виправити їх, Cellebrite оприлюднила заяву про те, що вона піклується про цілісність даних користувачів, підтримує безпеку своїх продуктів на належному рівні, регулярно випускає оновлення та постачає найкращі програми у своєму роді.
- Найбільше досягнення. Премія була присуджена Ілфаку Гільфанову, автору дизассемблера IDA та декомпілятора Hex-Rays, за його внесок у розробку інструментів для дослідників безпеки та його здатність підтримувати продукт в актуальному стані протягом 30 років.
Джерело: opennet.ru