Die Gewinner der jährlichen Pwnie Awards 2021 wurden bekannt gegeben. Dies ist eine herausragende Veranstaltung, bei der die Teilnehmer die wichtigsten Schwachstellen und absurden Mängel im Bereich der Computersicherheit aufdecken.
Die Pwnie Awards Sie erkennen sowohl Exzellenz als auch Inkompetenz im Bereich der Informationssicherheit an. Die Gewinner werden von einem Komitee aus Fachleuten der Sicherheitsbranche auf der Grundlage von Nominierungen ausgewählt, die von der Community für Informationssicherheit gesammelt wurden.
Gewinnerliste
Bessere Sicherheitslücke bei der Rechteausweitung: Diese Auszeichnung Verliehen an die Firma Qualys für die Identifizierung der Schwachstelle CVE-2021-3156 im sudo-Dienstprogramm, mit dem Sie Root-Rechte erlangen können. Die Schwachstelle ist seit etwa 10 Jahren im Code vorhanden und zeichnet sich dadurch aus, dass ihre Erkennung eine gründliche Analyse der Logik des Dienstprogramms erforderte.
Bester Serverfehler: es ist Verliehen für die Identifizierung und Ausnutzung des technisch komplexesten Fehlers und interessant in einem Netzwerkdienst. Der Sieg wurde für die Identifizierung verliehen ein neuer Angriffsvektor gegen Microsoft Exchange. Informationen zu allen Schwachstellen dieser Klasse wurden nicht veröffentlicht, jedoch wurden bereits Informationen zur Schwachstelle CVE-2021-26855 (ProxyLogon), die es ermöglicht, Daten von einem beliebigen Benutzer ohne Authentifizierung abzurufen, und CVE-2021-27065 veröffentlicht. wodurch Sie Ihren Code auf einem Server mit Administratorrechten ausführen können.
Beste Krypto-Attacke: wurde zugesichert zur Identifizierung der wichtigsten Fehler in Systemen, Protokolle und echte Verschlüsselungsalgorithmen. Der Preis fEs wurde für die Schwachstelle (CVE-2020-0601) an Microsoft freigegeben. bei der Implementierung von digitalen Signaturen mit elliptischen Kurven, die die Erzeugung privater Schlüssel basierend auf öffentlichen Schlüsseln ermöglichen. Das Problem ermöglichte die Erstellung von gefälschten TLS-Zertifikaten für HTTPS und gefälschte digitale Signaturen, die von Windows als vertrauenswürdig eingestuft wurden.
Innovativste Forschung: Die Auszeichnung verliehen an Forscher, die die BlindSide-Methode vorgeschlagen haben um die Sicherheit der Adressrandomisierung (ASLR) zu vermeiden, indem Seitenkanallecks verwendet werden, die aus der spekulativen Ausführung von Befehlen durch den Prozessor resultieren.
Die meisten Epic FAIL-Fehler: an Microsoft für eine mehrfache Veröffentlichung eines Patches verliehen, der nicht funktioniert für die PrintNightmare-Schwachstelle (CVE-2021-34527) im Windows-Druckausgabesystem, die die Ausführung Ihres Codes ermöglicht. Microsoft markierte das Problem zunächst als lokal, später stellte sich jedoch heraus, dass der Angriff aus der Ferne durchgeführt werden konnte. Microsoft veröffentlichte daraufhin viermal Updates, aber jedes Mal deckte die Lösung nur einen Sonderfall ab, und die Forscher fanden einen neuen Weg, den Angriff auszuführen.
Bester Fehler in der Client-Software: diese Auszeichnung war verliehen an einen Forscher, der die Sicherheitslücke CVE-2020-28341 in Samsungs sicherer Kryptographie entdeckt hat, erhielt das Sicherheitszertifikat CC EAL 5+. Die Schwachstelle ermöglichte es, den Schutz vollständig zu umgehen und Zugriff auf den auf dem Chip laufenden Code und die in der Enklave gespeicherten Daten zu erhalten, die Bildschirmschonersperre zu umgehen und auch Änderungen an der Firmware vorzunehmen, um eine versteckte Hintertür zu schaffen.
Die am meisten unterschätzte Schwachstelle: die Auszeichnung war an Qualys für die Identifizierung einer Reihe von 21Nails-Schwachstellen im Exim-Mailserver verliehen, 10 davon können aus der Ferne genutzt werden. Die Exim-Entwickler standen der Ausnutzung der Probleme skeptisch gegenüber und verbrachten mehr als 6 Monate damit, Lösungen zu entwickeln.
Die schwächste Antwort des Herstellers: das ist eine nominierung für die unangemessenste Reaktion auf einen Schwachstellenbericht in Ihrem eigenen Produkt. Der Gewinner war Cellebrite, eine forensische und Data-Mining-Anwendung für die Strafverfolgung. Cellebrite reagierte nicht angemessen auf den von Moxie Marlinspike, dem Autor des Signal-Protokolls, veröffentlichten Schwachstellenbericht. Moxie interessierte sich für Cellebrite, nachdem er eine Mediengeschichte über die Entwicklung einer Technologie zum Brechen verschlüsselter Signalnachrichten veröffentlicht hatte, die sich später aufgrund einer Fehlinterpretation der Informationen in dem Artikel auf der Cellebrite-Website als falsch herausstellte "Angriff" erforderte physischen Zugriff auf das Telefon und die Möglichkeit, den Bildschirm zu entsperren, dh es wurde auf das Anzeigen von Nachrichten im Messenger reduziert, jedoch nicht manuell, sondern mit einer speziellen Anwendung, die Benutzeraktionen simuliert ).
Moxie untersuchte Cellebrite-Anwendungen und fand kritische Schwachstellen, die die Ausführung von beliebigem Code beim Versuch, speziell gestaltete Daten zu scannen, ermöglichten. Die Cellebrite-App enthüllte auch die Verwendung einer veralteten ffmpeg-Bibliothek, die seit 9 Jahren nicht mehr aktualisiert wurde und eine große Anzahl ungepatchter Schwachstellen enthält. Anstatt die Probleme anzuerkennen und zu beheben, gab Cellebrite eine Erklärung ab, dass es sich um die Integrität der Benutzerdaten kümmert und die Sicherheit seiner Produkte auf dem richtigen Niveau hält.
Schließlich Größte Leistung - Verliehen an Ilfak Gilfanov, Autor des IDA-Disassemblers und Hex-Rays-Decompilers, für seinen Beitrag zur Entwicklung von Tools für Sicherheitsforscher und seine Fähigkeit, das Produkt über 30 Jahre aktuell zu halten.
Quelle: https://pwnies.com