Dobitnici nagrada Pwnie Awards 2021 već su objavljeni

Proglašeni pobjednici godišnjih nagrada Pwnie Awards 2021, što je istaknuti događaj, u kojem učesnici otkrivaju najznačajnije ranjivosti i apsurdne nedostatke na polju računarske sigurnosti.

Nagrade Pwnie prepoznaju i izvrsnost i nesposobnost na polju informacione sigurnosti. Pobjednike bira komisija stručnjaka iz sigurnosne industrije na osnovu nominacija prikupljenih od zajednice za informacionu sigurnost.

Lista dobitnika

Bolja ranjivost povećanja privilegija: Ova nagrada Dodijeljeno kompaniji Qualys za identifikaciju ranjivosti CVE-2021-3156 u uslužnom programu sudo, koji vam omogućava da steknete root privilegije. Ranjivost je prisutna u kodu oko 10 godina i značajna je po činjenici da je njeno otkrivanje zahtijevalo temeljitu analizu logike uslužnog programa.

Najbolja greška servera: ovo Dodjeljuje se za identifikaciju i iskorištavanje tehnički najsloženije greške i zanimljiv u mrežnom servisu. Pobjeda je dodijeljena za identifikaciju novi vektor napada na Microsoft Exchange. Informacije o svim ranjivostima u ovoj klasi nisu objavljene, ali su već otkrivene informacije o ranjivosti CVE-2021-26855 (ProxyLogon), koja vam omogućava da dohvatite podatke od proizvoljnog korisnika bez provjere autentičnosti, i CVE-2021-27065, koji vam omogućava da pokrenete svoj kôd na serveru sa administratorskim pravima.

Najbolji kripto napad: je odobren za identifikaciju najznačajnijih kvarova u sistemima, protokoli i pravi algoritmi šifriranja. Nagrada fMicrosoft je objavljen zbog ranjivosti (CVE-2020-0601) u implementaciji digitalnih potpisa eliptične krivulje koja omogućava generiranje privatnih ključeva na temelju javnih ključeva. Problem je omogućio stvaranje lažnih TLS certifikata za HTTPS i lažne digitalne potpise, za koje je Windows potvrdio da su pouzdani.

Najinovativnije istraživanje: Nagrada dodjeljuje se istraživačima koji su predložili BlindSide metodu kako bi se izbjegla sigurnost randomizacije adresa (ASLR) pomoću curenja bočnih kanala koji su rezultat spekulativnog izvršavanja instrukcija od strane procesora.

Većina grešaka Epic FAIL: dodijeljen Microsoftu za više izdanja zakrpe koja ne funkcionira za ranjivost PrintNightmare (CVE-2021-34527) u Windows sistemu za ispis ispisa koji omogućava pokretanje vašeg koda. Microsoft u početku je problem označavao kao lokalno, ali se kasnije pokazalo da se napad mogao izvesti na daljinu. Microsoft je tada četiri puta objavljivao ažuriranja, ali svaki put je rješenje pokrivalo samo jedan poseban slučaj, a istraživači su pronašli novi način izvođenja napada.

Najbolja greška u klijentskom softveru: ta nagrada je bila dodijeljeno istraživaču koji je otkrio ranjivost CVE-2020-28341 u Samsungovoj sigurnoj kriptografiji, dobio je sigurnosni certifikat CC EAL 5+. Ranjivost je omogućila potpuno zaobilaženje zaštite i pristup kodu koji se izvodi na čipu i podacima pohranjenim u enklavi, zaobilaženje zaključavanja čuvara ekrana, kao i izmjene firmvera kako bi se stvorila skrivena stražnja vrata.

Najpodcjenjivanija ranjivost: nagrada je bila dodijeljeno Qualys -u za identifikaciju brojnih 21Nails ranjivosti na poslužitelju pošte Exim, Od kojih se 10 može iskoristiti na daljinu. Programeri Exima bili su skeptični u pogledu iskorištavanja problema i proveli su više od 6 mjeseci u razvoju rješenja.

Najslabiji odgovor proizvođača: ovo je nominacija za najneprikladniji odgovor na izvještaj o ranjivosti u vašem vlastitom proizvodu. Pobijedio je Cellebrite, aplikacija za forenziku i rudarenje podataka za provođenje zakona. Cellebrite nije adekvatno reagirao na izvještaj o ranjivosti koji je objavila Moxie Marlinspike, autorka protokola Signal. Moxie se za Cellebrite zainteresirao nakon što je objavio medijsku priču o stvaranju tehnologije za razbijanje šifriranih signalnih poruka, što se kasnije pokazalo lažnim, zbog pogrešnog tumačenja podataka u članku na web stranici Cellebrite., Koje je kasnije uklonjeno ( "napad" je zahtijevao fizički pristup telefonu i mogućnost otključavanja ekrana, odnosno sveo se na pregled poruka u glasniku, ali ne ručno, već pomoću posebne aplikacije koja simulira radnje korisnika).

Moxie je pregledao aplikacije Cellebrite i otkrio kritične ranjivosti koje su dozvoljavale izvršavanje proizvoljnog koda pri pokušaju skeniranja posebno izrađenih podataka. Aplikacija Cellebrite otkrila je i činjenicu da koristi zastarjelu ffmpeg biblioteku koja nije ažurirana 9 godina i sadrži veliki broj neispravljenih ranjivosti. Umjesto da prizna probleme i riješi ih, Cellebrite je objavio izjavu da brine o integritetu korisničkih podataka, čuva sigurnost svojih proizvoda na odgovarajućoj razini.

Konačno Najveće postignuće - dodijeljeno Ilfaku Gilfanovu, autoru IDA rastavljača i dekompilera Hex -Rays, za njegov doprinos razvoju alata za istraživače sigurnosti i njegovu sposobnost da ažurira proizvod 30 godina.

Izvor: https://pwnies.com


Budite prvi koji komentarišete

Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.