Selgusid iga-aastase Pwnie Awards 2021 võitjad, mis on silmapaistev sündmus, kus osalejad paljastavad kõige olulisemad haavatavused ja absurdsed vead arvutiturbe valdkonnas.
Pwnie auhinnad nad tunnistavad nii tipptaset kui ka oskamatust infoturbes. Võitjad valib välja turvatööstuse spetsialistide komitee infoturbe kogukonnast kogutud nominatsioonide hulgast.
Võitjate nimekiri
Parem privileegide eskaleerimise haavatavus: See auhind Auhind antakse ettevõttele Qualys sudo-utiliidi haavatavuse CVE-2021-3156 tuvastamise eest, mis võimaldab teil saada juurõigusi. Haavatavus on koodis olnud umbes 10 aastat ja see on tähelepanuväärne selle poolest, et selle avastamine nõudis utiliidi loogika põhjalikku analüüsi.
Parim serveri viga: see on Autasustatud tehniliselt kõige keerukama vea tuvastamise ja kasutamise eest ja võrguteenuses huvitav. Võit anti välja tuvastamise eest Microsoft Exchange'i vastu suunatud rünnakute uus vektor. Teavet selle klassi kõigi haavatavuste kohta ei ole avaldatud, kuid juba on avaldatud teave haavatavuse CVE-2021-26855 (ProxyLogon) kohta, mis võimaldab teil ilma autentimiseta andmeid hankida suvaliselt kasutajalt ja CVE-2021-27065, mis võimaldab teil oma koodi käivitada administraatori õigustega serveris.
Parim krüptorünnak: anti süsteemide kõige olulisemate rikete väljaselgitamiseks, protokollid ja tõelised krüptimisalgoritmid. Auhind fSee avaldati Microsoftile haavatavuse tõttu (CVE-2020-0601) elliptilise kõvera digitaalallkirjade rakendamisel, mis võimaldab luua avalikel võtmetel põhinevaid privaatvõtmeid. Probleem lubas luua HTTPS -i jaoks võltsitud TLS -sertifikaate ja võltsitud digitaalallkirju, mille Windows kinnitas usaldusväärseks.
Kõige uuenduslikumad uuringud: Auhind antakse teadlastele, kes pakkusid välja BlindSide meetodi vältida aadresside randomiseerimise (ASLR) turvalisust, kasutades külgkanalite lekkeid, mis tulenevad protsessori käskkirjade spekulatiivsest täitmisest.
Enamik eepilisi ebaõnnestumisi: antakse Microsoftile plaastri mitme väljalaske eest, mis ei tööta Windowsi prindiväljundisüsteemi PrintNightmare haavatavuse (CVE-2021-34527) jaoks, mis võimaldab teie koodi käivitada. Microsoft märkis esialgu probleemi kohalikuks, kuid hiljem selgus, et rünnakut saab läbi viia kaugjuhtimisega. Seejärel avaldas Microsoft uuendused neli korda, kuid iga kord hõlmas lahendus ainult ühte erijuhtumit ning teadlased leidsid rünnaku läbiviimiseks uue viisi.
Parim viga klienditarkvaras: see auhind oli antakse teadlasele, kes avastas Samsungi turvalises krüptograafias haavatavuse CVE-2020-28341, sai CC EAL 5+ ohutustunnistuse. Haavatavus võimaldas kaitsest täielikult mööda minna ja pääseda juurde kiibil töötavale koodile ja enklaavi salvestatud andmetele, mööda minna ekraanisäästja lukust ja teha ka püsivaras muudatusi, et luua varjatud tagauks.
Kõige alahinnatud haavatavus: auhind oli antakse Qualysile Eximi e -posti serveri 21Nails'i haavatavuse tuvastamise eest, 10 neist saab eemalt kasutada. Eximi arendajad olid probleemide kasutamise suhtes skeptilised ja kulutasid lahenduste väljatöötamisele rohkem kui 6 kuud.
Tootja nõrgim vastus: see on nominatsioon kõige ebasobivam vastus teie toote haavatavuse aruandele. Võitjaks osutus õiguskaitseasutuste kohtuekspertiisi ja andmete kaevandamise rakendus Cellebrite. Cellebrite ei reageerinud piisavalt signaaliprotokolli autori Moxie Marlinspike avaldatud haavatavuse aruandele. Moxie hakkas Cellebrite'i vastu huvi tundma pärast seda, kui oli postitanud meedias loo krüpteeritud signaaliteadete katkestamise tehnoloogia loomisest, mis hiljem osutus valeks, kuna Cellebrite'i veebisaidi artiklis esitatud teave oli valesti tõlgendatud. "rünnak" nõudis füüsilist juurdepääsu telefonile ja võimalust ekraani avada, see tähendab, et see vähendati sõnumite vaatamiseks messengeris, kuid mitte käsitsi, vaid kasutades spetsiaalset rakendust, mis simuleerib kasutaja toiminguid).
Moxie uuris Cellebrite'i rakendusi ja leidis kriitilisi haavatavusi, mis võimaldasid suvalise koodi käivitamist spetsiaalselt loodud andmete skannimisel. Rakendus Cellebrite paljastas ka vananenud ffmpeg raamatukogu, mida pole 9 aastat uuendatud ja mis sisaldab suurt hulka parandamata haavatavusi. Selle asemel, et probleeme tunnistada ja neid parandada, avaldas Cellebrite avalduse, et hoolib kasutajaandmete terviklikkusest, hoiab oma toodete turvalisuse õigel tasemel.
Lõpuks Suurim saavutus - autasustatud Ilfak Gilfanovile, IDA lahtivõtja ja Hex -Rays dekompileri autorile, tema panuse eest turvauurijate jaoks mõeldud tööriistade väljatöötamisse ja võime eest hoida toodet ajakohasena 30 aastat.
allikas: https://pwnies.com