Proglašeni su pobjednici godišnjih nagrada Pwnie Awards 2021, što je istaknuti događaj u kojem sudionici otkrivaju najznačajnije ranjivosti i apsurdne nedostatke na polju računalne sigurnosti.
Nagrade Pwnie prepoznaju i izvrsnost i nesposobnost na polju informacijske sigurnosti. Pobjednike bira odbor stručnjaka iz sigurnosne industrije na temelju nominacija prikupljenih od zajednice za informacijsku sigurnost.
Lista dobitnika
Bolja ranjivost povećanja privilegija: Ova nagrada Dodijeljeno tvrtki Qualys za identifikaciju ranjivosti CVE-2021-3156 u uslužnom programu sudo, koji vam omogućuje stjecanje root ovlasti. Ranjivost je prisutna u kodu oko 10 godina i značajna je po činjenici da je njeno otkrivanje zahtijevalo temeljitu analizu logike komunalnog poduzeća.
Greška najboljeg poslužitelja: to je Dodjeljuje se za identificiranje i iskorištavanje tehnički najsloženije greške i zanimljiv u mrežnoj usluzi. Pobjeda je dodijeljena za identifikaciju novi vektor napada na Microsoft Exchange. Podaci o svim ranjivostima u ovoj klasi nisu objavljeni, ali su već otkriveni podaci o ranjivosti CVE-2021-26855 (ProxyLogon), koja vam omogućuje da dohvatite podatke od proizvoljnog korisnika bez provjere autentičnosti, i CVE-2021-27065, koji vam omogućuje pokretanje koda na poslužitelju s administratorskim pravima.
Najbolji kripto napad: je odobren za identifikaciju najznačajnijih kvarova u sustavima, protokoli i pravi algoritmi šifriranja. Nagrada fMicrosoft je objavljen zbog ranjivosti (CVE-2020-0601) u implementaciji digitalnih potpisa eliptične krivulje koja omogućuje generiranje privatnih ključeva na temelju javnih ključeva. Problem je dopustio stvaranje krivotvorenih TLS certifikata za HTTPS i lažne digitalne potpise, koje je Windows potvrdio kao pouzdane.
Najinovativnije istraživanje: Nagrada dodjeljuje se istraživačima koji su predložili metodu BlindSide kako bi se izbjegla sigurnost randomizacije adresa (ASLR) pomoću curenja bočnih kanala koji su rezultat spekulativnog izvršavanja uputa od strane procesora.
Većina grešaka Epic FAIL: dodijeljen Microsoftu za više izdanja zakrpe koja ne radi za ranjivost PrintNightmare (CVE-2021-34527) u Windows sustavu ispisa koji omogućuje pokretanje vašeg koda. Microsoft isprva je problem označio kao lokalni, no kasnije se pokazalo da se napad mogao izvršiti na daljinu. Microsoft je tada četiri puta objavljivao ažuriranja, ali svaki put je rješenje pokrivalo samo jedan poseban slučaj, a istraživači su pronašli novi način za izvođenje napada.
Najbolja greška u klijentskom softveru: ta nagrada je bila dodijeljeno istraživaču koji je otkrio ranjivost CVE-2020-28341 u Samsungovoj sigurnoj kriptografiji, dobio je sigurnosni certifikat CC EAL 5+. Ranjivost je omogućila potpuno zaobilaženje zaštite i pristup kodu koji se izvodi na čipu i podacima pohranjenim u enklavi, zaobilaženje zaključavanja čuvara zaslona, a također i izmjene firmvera kako bi se stvorila skrivena stražnja vrata.
Najviše se podcjenjuje ranjivost: nagrada je bila dodijeljeno Qualys -u za identifikaciju brojnih 21Nails ranjivosti na poslužitelju pošte Exim, Od kojih se 10 može iskoristiti na daljinu. Programeri Exima bili su skeptični u iskorištavanju problema i proveli su više od 6 mjeseci u razvoju rješenja.
Najslabiji odgovor proizvođača: ovo je nominacija za najneprikladniji odgovor na izvješće o ranjivosti u vlastitom proizvodu. Pobijedio je Cellebrite, aplikacija za forenziku i rudarenje podataka za provedbu zakona. Cellebrite nije adekvatno reagirao na izvješće o ranjivosti koje je objavila Moxie Marlinspike, autorica protokola Signal. Moxie se za Cellebrite zainteresirao nakon što je objavio medijsku priču o stvaranju tehnologije za razbijanje šifriranih signalnih poruka, što se kasnije pokazalo lažnim, zbog pogrešnog tumačenja podataka u članku na web stranici Cellebrite., Koje je kasnije uklonjeno ( "napad" je zahtijevao fizički pristup telefonu i mogućnost otključavanja zaslona, odnosno sveo se na pregled poruka u glasniku, ali ne ručno, već pomoću posebne aplikacije koja simulira radnje korisnika).
Moxie je pregledao aplikacije Cellebrite i otkrio kritične ranjivosti koje su dopuštale izvršavanje proizvoljnog koda pri pokušaju skeniranja posebno izrađenih podataka. Aplikacija Cellebrite otkrila je i činjenicu da koristi zastarjelu knjižnicu ffmpeg koja nije ažurirana 9 godina i sadrži veliki broj neispravljenih ranjivosti. Umjesto da prizna probleme i riješi ih, Cellebrite je izdao priopćenje da brine o integritetu korisničkih podataka, čuva sigurnost svojih proizvoda na odgovarajućoj razini.
Konačno Najveće postignuće - dodijeljeno Ilfaku Gilfanovu, autoru IDA rastavljača i dekompilatora Hex -Rays, za njegov doprinos razvoju alata za istraživače sigurnosti i njegovu sposobnost da 30 godina ažurira proizvod.
izvor: https://pwnies.com