Les lauréats des Pwnie Awards annuels 2021 ont été annoncés, qui est un événement de premier plan, dans lequel les participants révèlent les vulnérabilités les plus importantes et les failles absurdes dans le domaine de la sécurité informatique.
Les prix Pwnie ils reconnaissent à la fois l'excellence et l'incompétence dans le domaine de la sécurité de l'information. Les gagnants sont sélectionnés par un comité de professionnels de l'industrie de la sécurité à partir de candidatures recueillies auprès de la communauté de la sécurité de l'information.
Liste des gagnants
Meilleure vulnérabilité d'escalade de privilèges: Ce prix Attribué à la société Qualys pour avoir identifié la vulnérabilité CVE-2021-3156 dans l'utilitaire sudo, ce qui vous permet d'obtenir les privilèges root. La vulnérabilité est présente dans le code depuis environ 10 ans et se distingue par le fait que sa détection a nécessité une analyse approfondie de la logique de l'utilitaire.
Meilleure erreur de serveur : il est Décerné pour avoir identifié et exploité le bogue le plus techniquement complexe et intéressant dans un service réseau. La victoire a été décernée pour l'identification un nouveau vecteur d'attaques contre Microsoft Exchange. Les informations sur toutes les vulnérabilités de cette classe n'ont pas été publiées, mais des informations ont déjà été divulguées sur la vulnérabilité CVE-2021-26855 (ProxyLogon), qui permet de récupérer des données d'un utilisateur arbitraire sans authentification, et CVE-2021-27065, qui vous permet d'exécuter votre code sur un serveur avec des droits d'administrateur.
Meilleure attaque cryptographique : a été accordé pour identifier les défaillances les plus importantes dans les systèmes, protocoles et algorithmes de cryptage réels. Le prix fIl a été publié par Microsoft pour la vulnérabilité (CVE-2020-0601) dans la mise en œuvre de signatures numériques à courbe elliptique permettant la génération de clés privées basées sur des clés publiques. Le problème a permis la création de faux certificats TLS pour HTTPS et de fausses signatures numériques, que Windows a vérifiées comme étant dignes de confiance.
Recherches les plus innovantes : Le prix décerné aux chercheurs qui ont proposé la méthode BlindSide pour éviter la sécurité de randomisation d'adresse (ASLR) en utilisant des fuites de canal latéral qui résultent de l'exécution spéculative d'instructions par le processeur.
La plupart des erreurs Epic FAIL : attribué à Microsoft pour une version multiple d'un correctif qui ne fonctionne pas pour la vulnérabilité PrintNightmare (CVE-2021-34527) dans le système de sortie d'impression Windows qui permet à votre code de s'exécuter. Microsoft a initialement signalé le problème comme local, mais il s'est avéré plus tard que l'attaque pouvait être menée à distance. Microsoft a ensuite publié quatre mises à jour, mais à chaque fois, la solution ne couvrait qu'un cas particulier, et les chercheurs ont trouvé une nouvelle façon de mener l'attaque.
Meilleur bug dans le logiciel client: ce prix était décerné à un chercheur qui a découvert la vulnérabilité CVE-2020-28341 dans la cryptographie sécurisée de Samsung, a reçu le certificat de sécurité CC EAL 5+. La vulnérabilité a permis de contourner complètement la protection et d'accéder au code exécuté sur la puce et aux données stockées dans l'enclave, de contourner le verrouillage de l'économiseur d'écran et d'apporter des modifications au micrologiciel pour créer une porte dérobée cachée.
La vulnérabilité la plus sous-estimée: le prix a été décerné à Qualys pour l'identification d'un certain nombre de vulnérabilités 21Nails dans le serveur de messagerie Exim, dont 10 exploitables à distance. Les développeurs d'Exim étaient sceptiques quant à l'exploitation des problèmes et ont passé plus de 6 mois à développer des solutions.
La réponse la plus faible du fabricant : c'est une candidature pour la réponse la plus inappropriée à un rapport de vulnérabilité dans votre propre produit. Le gagnant était Cellebrite, une application de criminalistique et d'exploration de données pour les forces de l'ordre. Cellebrite n'a pas répondu de manière adéquate au rapport de vulnérabilité publié par Moxie Marlinspike, l'auteur du protocole Signal. Moxie s'est intéressé à Cellebrite après avoir publié un article dans les médias sur la création d'une technologie pour briser les messages cryptés de Signal, qui s'est par la suite avéré faux, en raison d'une mauvaise interprétation des informations contenues dans l'article sur le site Web de Cellebrite. , qui a ensuite été supprimé (le "l'attaque" nécessitait un accès physique au téléphone et la possibilité de déverrouiller l'écran, c'est-à-dire qu'il se réduisait à afficher les messages dans la messagerie, mais pas manuellement, mais à l'aide d'une application spéciale qui simule les actions de l'utilisateur).
Moxie a examiné les applications Cellebrite et trouvé des vulnérabilités critiques qui permettaient l'exécution de code arbitraire lors d'une tentative d'analyse de données spécialement conçues. L'application Cellebrite a également révélé qu'elle utilise une bibliothèque ffmpeg obsolète qui n'a pas été mise à jour depuis 9 ans et contient un grand nombre de vulnérabilités non corrigées. Plutôt que de reconnaître les problèmes et de les résoudre, Cellebrite a publié une déclaration selon laquelle elle se soucie de l'intégrité des données des utilisateurs et maintient la sécurité de ses produits au niveau approprié.
Enfin Plus grande réalisation - Décerné à Ilfak Gilfanov, auteur du désassembleur IDA et du décompilateur Hex-Rays, pour sa contribution au développement d'outils pour les chercheurs en sécurité et sa capacité à maintenir le produit à jour pendant 30 ans.
source: https://pwnies.com