Vinderne af de årlige Pwnie Awards 2021 blev annonceret, hvilket er en fremtrædende begivenhed, hvor deltagerne afslører de mest betydningsfulde sårbarheder og absurde mangler inden for computersikkerhed.
Pwnie Awards de anerkender både ekspertise og inkompetence inden for informationssikkerhed. Vinderne vælges af et udvalg af fagfolk inden for sikkerhedsbranchen fra nomineringer indsamlet fra informationssikkerhedssamfundet.
Vinderliste
Bedre sårbarhed ved eskalering af privilegier: Denne pris Tildelt til virksomheden Qualys for at identificere sårbarheden CVE-2021-3156 i sudo-værktøjet, som giver dig mulighed for at få root -privilegier. Sårbarheden har været til stede i kode i cirka 10 år og er kendt for, at dens påvisning krævede en grundig analyse af værktøjets logik.
Bedste serverfejl: det er Tildelt for at identificere og udnytte den mest teknisk komplekse fejl og interessant i en netværkstjeneste. Sejren blev tildelt for identifikation en ny vektor af angreb mod Microsoft Exchange. Oplysninger om alle sårbarheder i denne klasse er ikke frigivet, men der er allerede frigivet oplysninger om sårbarheden CVE-2021-26855 (ProxyLogon), som giver dig mulighed for at hente data fra en vilkårlig bruger uden godkendelse og CVE-2021-27065, som giver dig mulighed for at køre din kode på en server med administratorrettigheder.
Bedste kryptoangreb: blev bevilget til at identificere de væsentligste fejl i systemer, protokoller og ægte krypteringsalgoritmer. Præmien fDet blev frigivet til Microsoft på grund af sårbarheden (CVE-2020-0601) ved implementering af elliptiske kurve digitale signaturer, der tillader generering af private nøgler baseret på offentlige nøgler. Problemet tillod oprettelse af forfalskede TLS -certifikater til HTTPS og falske digitale signaturer, som Windows bekræftede som troværdige.
Mest innovative forskning: Prisen tildelt forskere, der foreslog BlindSide -metoden for at undgå sikkerheden ved adresser randomisering (ASLR) ved hjælp af sidekanal lækager, der skyldes processorens spekulative udførelse af instruktioner.
De fleste Epic FAIL fejl: tildelt Microsoft for en multipel udgivelse af en patch, der ikke virker for PrintNightmare-sårbarheden (CVE-2021-34527) i Windows-udskriftssystemet, der tillader din kode at køre. Microsoft Det markerede oprindeligt problemet som lokalt, men senere viste det sig, at angrebet kunne gennemføres eksternt. Microsoft frigav derefter opdateringer fire gange, men hver gang dækkede løsningen kun et specielt tilfælde, og forskerne fandt en ny måde at udføre angrebet på.
Bedste fejl i klientsoftware: den pris var tildelt en forsker, der opdagede CVE-2020-28341-sårbarheden i Samsungs sikre kryptografi, modtaget CC EAL 5+ sikkerhedscertifikat. Sårbarheden gjorde det muligt fuldstændigt at omgå beskyttelse og få adgang til koden, der kører på chippen og data, der er gemt i enklaven, omgå pauselåsens lås og også foretage ændringer i firmwaren for at oprette en skjult bagdør.
Den mest undervurderede sårbarhed: prisen var tildelt Qualys for identifikationen af et antal 21Nails -sårbarheder i Exim -mailserveren, 10 heraf kan udnyttes eksternt. Exim -udviklere var skeptiske over for at udnytte problemerne og brugte mere end 6 måneder på at udvikle løsninger.
Det svageste svar fra producenten: dette er en nominering for det mest upassende svar på en sårbarhedsrapport i dit eget produkt. Vinderen var Cellebrite, en retsmedicinsk og data mining -ansøgning til retshåndhævelse. Cellebrite reagerede ikke tilstrækkeligt på sårbarhedsrapporten udgivet af Moxie Marlinspike, forfatteren til Signal -protokollen. Moxie blev interesseret i Cellebrite efter at have lagt en mediehistorie om at oprette en teknologi til at bryde krypterede signalmeddelelser, som senere viste sig at være falsk, på grund af en fejlfortolkning af oplysningerne i artiklen på Cellebrite -webstedet., Som senere blev fjernet ( "angreb" krævede fysisk adgang til telefonen og muligheden for at låse skærmen op, det vil sige, at den blev reduceret til at se meddelelser i messenger, men ikke manuelt, men ved hjælp af et specielt program, der simulerer brugerhandlinger).
Moxie undersøgte Cellebrite -applikationer og fandt kritiske sårbarheder, der tillod, at vilkårlig kode blev udført, når han forsøgte at scanne specielt udformede data. Cellebrite -appen afslørede også det faktum, at den bruger et forældet ffmpeg -bibliotek, der ikke er blevet opdateret i 9 år og indeholder et stort antal upatchede sårbarheder. I stedet for at anerkende problemerne og rette dem, udsendte Cellebrite en erklæring om, at det bekymrer sig om integriteten af brugerdata, holder sikkerheden på sine produkter på det korrekte niveau.
Endelig Største præstation - Tildelt til Ilfak Gilfanov, forfatter til IDA demonterer og Hex -Rays decompiler, for hans bidrag til udviklingen af værktøjer til sikkerhedsforskere og hans evne til at holde produktet opdateret i 30 år.
kilde: https://pwnies.com