تم الإعلان عن الفائزين بجوائز Pwnie السنوية 2021 ، وهو حدث بارز يكشف فيه المشاركون عن أهم نقاط الضعف والعيوب السخيفة في مجال أمن الكمبيوتر.
جوائز Pwnie الاعتراف بكل من التميز وعدم الكفاءة في مجال أمن المعلومات. يتم اختيار الفائزين من قبل لجنة من المتخصصين في صناعة الأمن بناءً على الترشيحات التي تم جمعها من مجتمع أمن المعلومات.
قائمة الفائزين
ضعف تصعيد الامتيازات بشكل أفضل: هذه الجائزة مُنحت لشركة Qualys لتحديد الثغرة الأمنية CVE-2021-3156 في الأداة المساعدة sudo، والذي يسمح لك بالحصول على امتيازات الجذر. كانت الثغرة الأمنية موجودة في الكود منذ حوالي 10 سنوات وهي ملحوظة لحقيقة أن اكتشافها تطلب تحليلاً شاملاً لمنطق الأداة.
أفضل خطأ في الخادم: فمن مُنحت لتحديد أكثر الأخطاء الفنية تعقيدًا واستغلالها ومثيرة للاهتمام في خدمة الشبكة. تم منح النصر لتحديد الهوية متجه جديد للهجمات ضد Microsoft Exchange. لم يتم إصدار معلومات حول جميع نقاط الضعف في هذه الفئة ، ولكن تم بالفعل الكشف عن معلومات حول الثغرة الأمنية CVE-2021-26855 (ProxyLogon) ، والتي تتيح لك استرداد البيانات من مستخدم عشوائي بدون مصادقة ، و CVE-2021-27065 ، الذي يسمح لك بتشغيل التعليمات البرمجية الخاصة بك على خادم يتمتع بحقوق المسؤول.
أفضل هجوم تشفير: تم منحه لتحديد أهم حالات الفشل في الأنظمةوالبروتوكولات وخوارزميات التشفير الحقيقي. جائزة fتم إصداره إلى Microsoft بسبب الثغرة الأمنية (CVE-2020-0601) في تنفيذ التوقيعات الرقمية ذات المنحنى البيضاوي التي تسمح بإنشاء مفاتيح خاصة تعتمد على المفاتيح العامة. سمحت المشكلة بإنشاء شهادات TLS مزورة لـ HTTPS والتوقيعات الرقمية المزيفة ، والتي أثبت Windows أنها جديرة بالثقة.
البحث الأكثر ابتكارًا: الجائزة مُنحت للباحثين الذين اقترحوا طريقة BlindSide لتجنب أمان التوزيع العشوائي للعناوين (ASLR) باستخدام تسريبات القناة الجانبية التي تنتج عن التنفيذ التخميني للتعليمات من قبل المعالج.
معظم أخطاء Epic FAIL: مُنحت لشركة Microsoft لإصدار متعدد من تصحيح لا يعمل للثغرة الأمنية PrintNightmare (CVE-2021-34527) في نظام إخراج طباعة Windows الذي يسمح بتشغيل التعليمات البرمجية الخاصة بك. مايكروسوفت في البداية ، تم تحديد المشكلة على أنها محلية ، ولكن تبين لاحقًا أنه يمكن تنفيذ الهجوم عن بُعد. أصدرت Microsoft بعد ذلك تحديثات أربع مرات ، لكن في كل مرة كان الحل يغطي حالة خاصة واحدة فقط ، ووجد الباحثون طريقة جديدة لتنفيذ الهجوم.
أفضل خطأ في برنامج العميل: كانت تلك الجائزة مُنح للباحث الذي اكتشف الثغرة الأمنية CVE-2020-28341 في التشفير الآمن من Samsung ، حصل على شهادة السلامة CC EAL 5+. مكّنت الثغرة الأمنية من تجاوز الحماية تمامًا والوصول إلى الكود الذي يعمل على الشريحة والبيانات المخزنة في المنطقة المحصورة ، وتجاوز قفل شاشة التوقف ، وكذلك إجراء تغييرات على البرامج الثابتة لإنشاء باب خلفي مخفي.
أكثر نقاط الضعف التي يتم التقليل من شأنها: كانت الجائزة مُنحت لشركة Qualys لتحديد عدد 21Nails من الثغرات الأمنية في خادم بريد Exim ، 10 منها يمكن استغلالها عن بعد. كان مطورو Exim متشككين بشأن استغلال المشكلات وأمضوا أكثر من 6 أشهر في تطوير الحلول.
أضعف إجابة من الشركة المصنعة: هذا ترشيح للاستجابة الأكثر ملاءمة لتقرير الثغرات الأمنية في منتجك. وكان الفائز هو Cellebrite ، وهو تطبيق للطب الشرعي والتنقيب عن البيانات لتطبيق القانون. لم تستجب شركة Cellebrite بشكل كافٍ لتقرير الضعف الذي نشرته Moxie Marlinspike ، مؤلف بروتوكول الإشارة. أصبح Moxie مهتمًا بـ Cellebrite بعد نشر قصة إعلامية حول إنشاء تقنية لكسر رسائل Signal المشفرة ، والتي تبين فيما بعد أنها خاطئة ، بسبب سوء تفسير المعلومات الواردة في المقالة على موقع Cellebrite ، والتي تمت إزالتها لاحقًا (the) تطلب "الهجوم" الوصول المادي إلى الهاتف والقدرة على فتح الشاشة ، أي أنه تم تقليله إلى عرض الرسائل في برنامج المراسلة ، ولكن ليس يدويًا ، ولكن باستخدام تطبيق خاص يحاكي إجراءات المستخدم).
قام Moxie بفحص تطبيقات Cellebrite ووجد ثغرات أمنية حرجة سمحت بتنفيذ تعليمات برمجية عشوائية عند محاولة مسح البيانات المصممة خصيصًا. كشف تطبيق Cellebrite أيضًا عن حقيقة أنه يستخدم مكتبة ffmpeg قديمة لم يتم تحديثها منذ 9 سنوات وتحتوي على عدد كبير من نقاط الضعف غير المصححة. بدلاً من الاعتراف بالمشكلات وحلها ، أصدرت Cellebrite بيانًا بأنها تهتم بسلامة بيانات المستخدم ، وتحافظ على أمان منتجاتها عند المستوى المناسب.
أخيرا أعظم إنجاز - مُنح إلى Ilfak Gilfanov ، مؤلف مفكك IDA و Hex-Rays decompilerلمساهمته في تطوير أدوات للباحثين الأمنيين وقدرته على تحديث المنتج باستمرار لمدة 30 عامًا.
مصدر: https://pwnies.com