Byli vyhlášeni vítězové výročních cen Pwnie Awards 2021, což je významná událost, při které účastníci odhalí nejvýznamnější zranitelnosti a absurdní nedostatky v oblasti počítačové bezpečnosti.
Ocenění Pwnie uznávají jak vynikající kvalitu, tak nekompetentnost v oblasti informační bezpečnosti. Vítězové jsou vybíráni komisí profesionálů v bezpečnostním průmyslu z nominací shromážděných od komunity informační bezpečnosti.
Seznam vítězů
Lepší zranitelnost eskalace privilegií: Toto ocenění Uděluje se společnosti Qualys za identifikaci zranitelnosti CVE-2021-3156 v nástroji sudo, což vám umožňuje získat oprávnění root. Tato chyba zabezpečení je v kódu přítomna přibližně 10 let a je pozoruhodná tím, že její zjištění vyžadovalo důkladnou analýzu logiky obslužného programu.
Nejlepší chyba serveru: to je Uděluje se za identifikaci a využití technicky nejsložitější chyby a zajímavé v síťové službě. Vítězství bylo uděleno za identifikaci nový vektor útoků proti Microsoft Exchange. Informace o všech zranitelnostech v této třídě nebyly zveřejněny, ale již byly vydány informace o chybě zabezpečení CVE-2021-26855 (ProxyLogon), která vám umožňuje načíst data od libovolného uživatele bez ověření, a CVE-2021-27065, což vám umožní spustit váš kód na serveru s právy správce.
Nejlepší krypto útok: bylo uděleno pro identifikaci nejvýznamnějších poruch v systémech, protokoly a skutečné šifrovací algoritmy. Cena fByla vydána společnosti Microsoft kvůli chybě zabezpečení (CVE-2020-0601) při implementaci digitálních podpisů eliptické křivky, která umožňuje generování soukromých klíčů na základě veřejných klíčů. Problém umožnil vytvoření padělaných certifikátů TLS pro HTTPS a falešných digitálních podpisů, které Windows ověřily jako důvěryhodné.
Nejinovativnější výzkum: Ocenění udělováno vědcům, kteří navrhli metodu BlindSide aby se zabránilo zabezpečení randomizace adres (ASLR) pomocí úniků postranních kanálů, které vyplývají ze spekulativního provádění pokynů procesorem.
Většina epických chyb FAIL: udělen společnosti Microsoft za vícenásobné vydání opravy, která nefunguje pro chybu zabezpečení PrintNightmare (CVE-2021-34527) v tiskovém výstupním systému Windows, která umožňuje spuštění vašeho kódu. Microsoft původně označil problém za místní, ale později se ukázalo, že útok lze provést vzdáleně. Microsoft poté vydal aktualizace čtyřikrát, ale pokaždé se řešení týkalo pouze jednoho speciálního případu a vědci našli nový způsob, jak útok provést.
Nejlepší chyba v klientském softwaru: to ocenění bylo udělena výzkumníkovi, který objevil zranitelnost CVE-2020-28341 v zabezpečené kryptografii Samsung, obdržel bezpečnostní certifikát CC EAL 5+. Tato zranitelnost umožnila zcela obejít ochranu a získat přístup ke kódu spuštěnému na čipu a k datům uloženým v enklávě, obejít zámek spořiče obrazovky a také provést změny firmwaru a vytvořit skrytá zadní vrátka.
Nejvíce podceňovaná zranitelnost: cena byla udělena společnosti Qualys za identifikaci řady zranitelností 21Nails na poštovním serveru Exim, 10 z nich lze zneužít na dálku. Vývojáři Exim byli skeptičtí ohledně využívání problémů a strávili více než 6 měsíců vývojem řešení.
Nejslabší odpověď výrobce: toto je nominace za nejnevhodnější reakci na zprávu o chybě zabezpečení ve vašem vlastním produktu. Vítězem se stala Cellebrite, forenzní aplikace a aplikace pro dolování dat pro vymáhání práva. Cellebrite nereagoval dostatečně na zprávu o zranitelnosti, kterou zveřejnila Moxie Marlinspike, autorka protokolu Signal. Moxie se začala zajímat o Cellebrite poté, co zveřejnila mediální příběh o vytvoření technologie prolomení šifrovaných zpráv, které se později ukázaly jako nepravdivé, kvůli nesprávné interpretaci informací v článku na webu Cellebrite., Který byl později odstraněn ( „útok“ vyžadoval fyzický přístup k telefonu a schopnost odemknout obrazovku, to znamená, že byl omezen na prohlížení zpráv v messengeru, ale ne ručně, ale pomocí speciální aplikace, která simuluje akce uživatele).
Moxie prozkoumala aplikace Cellebrite a zjistila kritické zranitelnosti, které umožňovaly spuštění libovolného kódu při pokusu o skenování speciálně vytvořených dat. Aplikace Cellebrite také odhalila použití zastaralé knihovny ffmpeg, která nebyla 9 let aktualizována a obsahuje velké množství nepatchovaných zranitelností. Společnost Cellebrite místo toho, aby problémy uznávala a opravovala, vydala prohlášení, že dbá na integritu uživatelských dat a udržuje bezpečnost svých produktů na správné úrovni.
Konečně Největší úspěch - udělil Ilfak Gilfanov, autor disassembleru IDA a dekompilátoru Hex -Rays, za jeho příspěvek k vývoji nástrojů pro výzkumníky v oblasti bezpečnosti a jeho schopnost udržovat produkt aktuální po dobu 30 let.
zdroj: https://pwnies.com