Ανακοινώθηκαν οι νικητές των ετήσιων βραβείων Pwnie 2021, που είναι ένα σημαντικό γεγονός, στο οποίο οι συμμετέχοντες αποκαλύπτουν τις πιο σημαντικές ευπάθειες και παράλογες ατέλειες στον τομέα της ασφάλειας των υπολογιστών.
Τα βραβεία Pwnie Αναγνωρίζουν τόσο την αριστεία όσο και την ανικανότητα στον τομέα της ασφάλειας των πληροφοριών. Οι νικητές επιλέγονται από μια επιτροπή επαγγελματιών του κλάδου ασφαλείας από υποψηφιότητες που συλλέγονται από την κοινότητα ασφάλειας πληροφοριών.
Λίστα νικητών
Καλύτερη ευπάθεια κλιμάκωσης προνομίων: Αυτό το βραβείο Απονεμήθηκε στην εταιρεία Qualys για τον εντοπισμό της ευπάθειας CVE-2021-3156 στο βοηθητικό πρόγραμμα sudo, το οποίο σας επιτρέπει να αποκτήσετε δικαιώματα root. Η ευπάθεια είναι παρούσα στον κώδικα για περίπου 10 χρόνια και είναι αξιοσημείωτη για το γεγονός ότι ο εντοπισμός της απαιτούσε διεξοδική ανάλυση της λογικής του βοηθητικού προγράμματος.
Καλύτερο σφάλμα διακομιστή: είναι Βραβεύτηκε για τον εντοπισμό και την εκμετάλλευση του πιο τεχνικά πολύπλοκου σφάλματος και ενδιαφέρουσα σε μια υπηρεσία δικτύου. Η νίκη απονεμήθηκε για τον εντοπισμό ένα νέο διάνυσμα επιθέσεων κατά του Microsoft Exchange. Πληροφορίες για όλα τα τρωτά σημεία αυτής της κατηγορίας δεν έχουν δημοσιοποιηθεί, αλλά έχουν ήδη αποκαλυφθεί πληροφορίες σχετικά με το θέμα ευπάθειας CVE-2021-26855 (ProxyLogon), το οποίο σας επιτρέπει να ανακτήσετε δεδομένα από έναν αυθαίρετο χρήστη χωρίς έλεγχο ταυτότητας και CVE-2021-27065, που σας επιτρέπει να εκτελέσετε τον κωδικό σας σε διακομιστή με δικαιώματα διαχειριστή.
Η καλύτερη επίθεση κρυπτογράφησης: χορηγήθηκε για τον εντοπισμό των σημαντικότερων βλαβών στα συστήματα, πρωτόκολλα και πραγματικούς αλγόριθμους κρυπτογράφησης. Το έπαθλο fΚυκλοφόρησε στη Microsoft για την ευπάθεια (CVE-2020-0601) στην εφαρμογή ψηφιακών υπογραφών ελλειπτικής καμπύλης που επιτρέπει τη δημιουργία ιδιωτικών κλειδιών με βάση τα δημόσια κλειδιά. Το ζήτημα επέτρεψε τη δημιουργία πλαστών πιστοποιητικών TLS για HTTPS και πλαστών ψηφιακών υπογραφών, τα οποία τα Windows επιβεβαίωσαν ως αξιόπιστα.
Η πιο καινοτόμος έρευνα: Το βραβείο απονέμεται σε ερευνητές που πρότειναν τη μέθοδο BlindSide για να αποφύγετε την ασφάλεια της τυχαιοποίησης διευθύνσεων (ASLR) χρησιμοποιώντας πλευρικές διαρροές καναλιών που προκύπτουν από την κερδοσκοπική εκτέλεση οδηγιών από τον επεξεργαστή.
Τα περισσότερα Epic FAIL σφάλματα: απονέμεται στη Microsoft για πολλαπλή κυκλοφορία μιας ενημερωμένης έκδοσης κώδικα που δεν λειτουργεί για την ευπάθεια PrintNightmare (CVE-2021-34527) στο σύστημα εξόδου εκτύπωσης των Windows που επιτρέπει την εκτέλεση του κώδικά σας. Microsoft αρχικά σημείωσε το ζήτημα ως τοπικό, αλλά αργότερα αποδείχθηκε ότι η επίθεση θα μπορούσε να πραγματοποιηθεί από απόσταση. Στη συνέχεια, η Microsoft κυκλοφόρησε ενημερώσεις τέσσερις φορές, αλλά κάθε φορά η λύση κάλυπτε μόνο μία ειδική περίπτωση και οι ερευνητές βρήκαν έναν νέο τρόπο εκτέλεσης της επίθεσης.
Το καλύτερο σφάλμα στο λογισμικό πελάτη: αυτό το βραβείο ήταν απονεμήθηκε σε έναν ερευνητή που ανακάλυψε την ευπάθεια CVE-2020-28341 στην ασφαλή κρυπτογραφία της Samsung, έλαβε το πιστοποιητικό ασφαλείας CC EAL 5+. Η ευπάθεια επέτρεψε την πλήρη παράκαμψη της προστασίας και την απόκτηση πρόσβασης στον κώδικα που τρέχει στο τσιπ και τα δεδομένα που είναι αποθηκευμένα στον θύλακα, την παράκαμψη της κλειδαριάς της προφύλαξης οθόνης και επίσης την πραγματοποίηση αλλαγών στο υλικολογισμικό για τη δημιουργία μιας κρυφής πίσω πόρτας.
Η πιο υποτιμημένη ευπάθεια: το βραβείο ήταν απονεμήθηκε στην Qualys για τον εντοπισμό μιας ευπάθειας 21Nails στον διακομιστή αλληλογραφίας Exim, 10 από τα οποία μπορούν να αξιοποιηθούν από απόσταση. Οι προγραμματιστές του Exim ήταν σκεπτικοί σχετικά με την εκμετάλλευση των θεμάτων και πέρασαν πάνω από 6 μήνες στην ανάπτυξη λύσεων.
Η πιο αδύναμη απάντηση από τον κατασκευαστή: αυτό είναι μια υποψηφιότητα για την πιο ακατάλληλη απάντηση σε μια αναφορά ευπάθειας στο δικό σας προϊόν. Νικητής ήταν η Cellebrite, ιατροδικαστική και εξόρυξη δεδομένων για την επιβολή του νόμου. Η Cellebrite δεν ανταποκρίθηκε επαρκώς στην έκθεση ευπάθειας που δημοσιεύτηκε από τη Moxie Marlinspike, τη συγγραφέα του πρωτοκόλλου Signal. Η Moxie ενδιαφέρθηκε για το Cellebrite αφού δημοσίευσε μια ιστορία στα μέσα μαζικής ενημέρωσης σχετικά με τη δημιουργία μιας τεχνολογίας για να σπάσει τα κρυπτογραφημένα μηνύματα σήματος, τα οποία αργότερα αποδείχθηκαν ψευδή, λόγω λανθασμένης ερμηνείας των πληροφοριών του άρθρου στον ιστότοπο της Cellebrite., Η οποία αργότερα αφαιρέθηκε (το Η "επίθεση" απαιτούσε φυσική πρόσβαση στο τηλέφωνο και δυνατότητα ξεκλειδώματος της οθόνης, δηλαδή περιορίστηκε στην προβολή μηνυμάτων στο messenger, αλλά όχι χειροκίνητα, αλλά χρησιμοποιώντας ειδική εφαρμογή που προσομοιώνει τις ενέργειες των χρηστών).
Η Moxie εξέτασε τις εφαρμογές Cellebrite και βρήκε κρίσιμα τρωτά σημεία που επέτρεψαν την εκτέλεση αυθαίρετου κώδικα κατά την προσπάθεια σάρωσης ειδικά δημιουργημένων δεδομένων. Η εφαρμογή Cellebrite αποκάλυψε επίσης το γεγονός ότι χρησιμοποιεί μια ξεπερασμένη βιβλιοθήκη ffmpeg που δεν έχει ενημερωθεί εδώ και 9 χρόνια και περιέχει μεγάλο αριθμό ασυμπίεστων τρωτών σημείων. Αντί να αναγνωρίζει τα προβλήματα και να τα διορθώνει, η Cellebrite εξέδωσε μια δήλωση ότι νοιάζεται για την ακεραιότητα των δεδομένων των χρηστών, διατηρεί την ασφάλεια των προϊόντων της στο κατάλληλο επίπεδο.
Τελικά Greatest Achievement - Βραβεύτηκε στον Ilfak Gilfanov, συγγραφέα του αποσυναρμολογητή IDA και αποσυμπιεστή Hex -Rays, για τη συμβολή του στην ανάπτυξη εργαλείων για τους ερευνητές ασφάλειας και την ικανότητά του να διατηρεί το προϊόν ενημερωμένο για 30 χρόνια.
πηγή: https://pwnies.com