Xa se anunciaron os gañadores dos premios Pwnie 2021

Anunciáronse os gañadores dos premios Pwnie 2021 anuais, que é un evento destacado, no que os participantes revelan as vulnerabilidades máis significativas e os erros absurdos no campo da seguridade informática.

Os premios Pwnie recoñecen a excelencia e a incompetencia no campo da seguridade da información. Os gañadores son seleccionados por un comité de profesionais da industria de seguridade en función das candidaturas recollidas na comunidade de seguridade da información.

Lista de gañadores

Mellor vulnerabilidade á escalada de privilexios: Este premio Adxudicado á empresa Qualys por identificar a vulnerabilidade CVE-2021-3156 na utilidade sudo, o que lle permite obter privilexios de root. A vulnerabilidade está presente no código desde hai uns 10 anos e destaca polo feito de que a súa detección requiriu unha análise minuciosa da lóxica da utilidade.

Mellor erro de servidor: este Premiado por identificar e explotar o erro tecnicamente máis complexo e interesante nun servizo de rede. A vitoria foi outorgada por identificarse un novo vector de ataques contra Microsoft Exchange. Non se publicou información sobre todas as vulnerabilidades desta clase, pero xa se publicou información sobre a vulnerabilidade CVE-2021-26855 (ProxyLogon), que permite recuperar datos dun usuario arbitrario sen autenticación e CVE-2021-27065, o que lle permite executar o seu código nun servidor con dereitos de administrador.

Mellor ataque criptográfico: foi concedida para identificar os fallos máis significativos nos sistemas, protocolos e algoritmos de cifrado reais. O premio fFoi lanzado a Microsoft pola vulnerabilidade (CVE-2020-0601) na implementación de sinaturas dixitais de curva elíptica que permita a xeración de claves privadas baseadas en claves públicas. O problema permitiu a creación de certificados TLS falsificados para HTTPS e sinaturas dixitais falsas, que Windows verificou como fiables.

Investigación máis innovadora: O premio outorgado a investigadores que propuxeron o método BlindSide para evitar a seguridade da aleatorización de enderezos (ASLR) mediante fugas de canles laterais que resultan da execución especulativa de instrucións polo procesador.

A maioría dos erros EPIC FAIL: outorgouse a Microsoft por unha versión múltiple dun parche que non funciona para a vulnerabilidade PrintNightmare (CVE-2021-34527) no sistema de saída de impresión de Windows que permite executar o seu código. Microsoft inicialmente sinalou o problema como local, pero máis tarde descubriuse que o ataque podería levarse a cabo de xeito remoto. Microsoft lanzou actualizacións catro veces, pero cada vez a solución só cubría un caso especial e os investigadores atoparon unha nova forma de levar a cabo o ataque.

Mellor erro no software do cliente: ese premio foi outorgado a un investigador que descubriu a vulnerabilidade CVE-2020-28341 na criptografía segura de Samsung, recibiu o certificado de seguridade CC EAL 5+. A vulnerabilidade permitiu evitar completamente a protección e acceder ao código que se executa no chip e aos datos almacenados no enclave, ignorar o bloqueo do protector de pantalla e tamén facer cambios no firmware para crear unha porta traseira oculta.

A vulnerabilidade máis subestimada: o premio foi outorgado a Qualys pola identificación dunha serie de vulnerabilidades de 21Nails no servidor de correo Exim, 10 dos cales poden ser explotados remotamente. Os desenvolvedores de Exim amosáronse escépticos sobre a explotación dos problemas e pasaron máis de 6 meses desenvolvendo solucións.

A resposta máis débil do fabricante: esta é unha nominación para obter a resposta máis inadecuada a un informe de vulnerabilidade no seu propio produto. O gañador foi Cellebrite, unha aplicación forense e de minería de datos para a aplicación da lei. Cellebrite non respondeu adecuadamente ao informe de vulnerabilidade publicado por Moxie Marlinspike, a autora do protocolo Signal. Moxie interesouse por Cellebrite despois de publicar unha noticia sobre a creación dunha tecnoloxía para romper as mensaxes cifradas de Signal, que despois resultou ser falsa, debido a unha mala interpretación da información do artigo do sitio web de Cellebrite., Que posteriormente foi eliminada (o O "ataque" requiría acceso físico ao teléfono e a posibilidade de desbloquear a pantalla, é dicir, reduciuse a ver mensaxes no messenger, pero non manualmente, senón usando unha aplicación especial que simula as accións do usuario).

Moxie examinou as aplicacións de Cellebrite e atopou vulnerabilidades críticas que permitían executar código arbitrario cando intentaba escanear datos feitos especialmente. A aplicación Cellebrite tamén revelou o uso dunha biblioteca ffmpeg obsoleta que non se actualizou hai 9 anos e contén un gran número de vulnerabilidades sen parches. En lugar de recoñecer os problemas e solucionalos, Cellebrite emitiu unha declaración de que se preocupa pola integridade dos datos do usuario, mantén a seguridade dos seus produtos no nivel adecuado.

Finalmente Máximo logro: outorgado a Ilfak Gilfanov, autor do desmontador IDA e descompilador de raios hexadecimais, pola súa contribución ao desenvolvemento de ferramentas para investigadores en seguridade e a súa capacidade para manter o produto actualizado durante 30 anos.

Fuente: https://pwnies.com


O contido do artigo adhírese aos nosos principios de ética editorial. Para informar dun erro faga clic en aquí.

Sexa o primeiro en opinar sobre

Deixa o teu comentario

Enderezo de correo electrónico non será publicado. Os campos obrigatorios están marcados con *

*

*

  1. Responsable dos datos: Miguel Ángel Gatón
  2. Finalidade dos datos: controlar SPAM, xestión de comentarios.
  3. Lexitimación: o seu consentimento
  4. Comunicación dos datos: os datos non serán comunicados a terceiros salvo obrigación legal.
  5. Almacenamento de datos: base de datos aloxada por Occentus Networks (UE)
  6. Dereitos: en calquera momento pode limitar, recuperar e eliminar a súa información.