Es van donar a conèixer els guanyadors dels premis anuals Pwnie Awards 2021, el qual és un esdeveniment destacat, en el qual els participants donen a conèixer les vulnerabilitats més significatives i falles absurdes en el camp de la seguretat informàtica.
Els premis Pwnie reconeixen tant l'excel·lència com la incompetència en el camp de la seguretat de la informació. Els guanyadors són seleccionats per un comitè de professionals de la indústria de la seguretat a partir de nominacions recopilades de la comunitat de seguretat de la informació.
Llista de guanyadors
Millor vulnerabilitat d'escalada de privilegis: Aquest premi es va atorgar a l'empresa Qualys per identificar la vulnerabilitat CVE-2021-3156 en la utilitat sudo, Que permet obtenir privilegis de root. La vulnerabilitat ha estat present en el codi durant uns 10 anys i es destaca pel fet que la seva detecció va requerir una anàlisi exhaustiva de la lògica de la utilitat.
Millor error de servidor: aquest es va atorgar per identificar i explotar l'error tècnicament més complex i interessant en un servei de xarxa. La victòria es va atorgar per identificar un nou vector d'atacs contra Microsoft Exchange. No s'ha publicat informació sobre totes les vulnerabilitats d'aquesta classe, però ja s'ha divulgat informació sobre la vulnerabilitat CVE-2021-26855 (ProxyLogon), que li permet recuperar dades d'un usuari arbitrari sense autenticació, i CVE-2021-27065, que li permet executar el seu codi en un servidor amb drets d'administrador.
Millor atac criptogràfic: es va atorgar per identificar les falles més significatives en sistemes, Protocols i algoritmes de xifrat reals. El premi fue lliurat a Microsoft per la vulnerabilitat (CVE-2020-0601) en la implementació de signatures digitals de corba el·líptica que permet la generació de claus basades en claus públiques. El problema va permetre la creació de certificats TLS falsificats per HTTPS i signatures digitals falses, que Windows va verificar com fiables.
Recerca més innovadora: el premi es va atorgar als investigadors que van proposar el mètode Blindside per evitar la seguretat de l'aleatorització d'adreces (ASLR) utilitzant fuites de canal lateral que resulten de l'execució especulativa d'instruccions per part de l'processador.
La majoria d'errors d'Epic FAIL: atorgat a Microsoft per un llançament múltiple d'un pegat que no funciona per a la vulnerabilitat PrintNightmare (CVE-2021-34527) en el sistema de sortida d'impressió de Windows que permet que s'executi el seu codi. Microsoft inicialment va marcar el problema com a local, però després va resultar que l'atac podria dur-se a terme de forma remota. Després, Microsoft va publicar actualitzacions quatre vegades, però cada vegada la solució només cobria un cas especial, i els investigadors van trobar una nova forma de dur a terme l'atac.
Millor error en programari client: Aquest premi va ser atorgat a un investigador que va descobrir la vulnerabilitat CVE-2020-28341 en la criptografia segura de Samsung, rebre el certificat de seguretat de CC EAL 5+. La vulnerabilitat va fer possible ometre del tot la protecció i accedir a el codi executat en el xip i les dades emmagatzemades en l'enclavament, ometre el bloqueig de l'estalvi de pantalla i també realitzar canvis en el firmware per crear una porta del darrere oculta.
La vulnerabilitat més subestimada: El premi va ser atorgat a Qualys per la identificació d'una sèrie de vulnerabilitats 21Nails al servidor de correu Exim, 10 de les quals poden explotar-se de forma remota. Els desenvolupadors de Exim es van mostrar escèptics sobre l'explotació dels problemes i van passar més de 6 mesos desenvolupant solucions.
La resposta més feble de l'fabricant: aquesta és una nominació per la resposta més inadequada a un informe de vulnerabilitat en el seu propi producte. El guanyador va ser Cellebrite, una aplicació forense i de mineria de dades per a les forces de l'ordre. Cellebrite no va respondre adequadament a l'informe de vulnerabilitat publicat per Moxie Marlinspike, l'autor de l'protocol Signal. Moxie es va interessar en Cellebrite després de publicar una nota en els mitjans sobre la creació d'una tecnologia per trencar el missatges de Signal encriptats, que després van resultar ser falsos, a causa d'una mala interpretació de la informació en l'article en el lloc web de Cellebrite , que després va ser eliminat (el «atac» requeria accés físic a el telèfon i la capacitat de desbloquejar la pantalla, és a dir, es va reduir a veure missatges al missatger, però no manualment, sinó fent servir una aplicació especial que simula les accions de l'usuari ).
Moxie va examinar les aplicacions de Cellebrite i va trobar vulnerabilitats crítiques que permetien l'execució de codi arbitrari a l'intentar escanejar dades especialment dissenyats. L'aplicació Cellebrite també va revelar el fet d'utilitzar una biblioteca ffmpeg desactualitzada que no s'ha actualitzat durant 9 anys i conté una gran quantitat de vulnerabilitats sense posar pegats. En lloc de reconèixer els problemes i solucionar-los, Cellebrite va emetre una declaració que es preocupa per la integritat de les dades de l'usuari, manté la seguretat dels seus productes en el nivell adequat.
Finalment el major assoliment: va ser atorgat a Ilfak Gilfanov, autor de l'desensamblador ANADA i descompilador Hex-Rays, Per la seva contribució a el desenvolupament d'eines per a investigadors de seguretat i la seva capacitat per mantenir el producte actualitzat durant 30 anys.
font: https://pwnies.com