Kihirdették az éves Pwnie Awards 2021 nyerteseit, amely kiemelkedő esemény, amelyben a résztvevők feltárják a számítógép-biztonság terén a legjelentősebb sebezhetőségeket és abszurd hibákat.
A Pwnie-díjak elismerik a kiválóságot és az alkalmatlanságot is az információbiztonság területén. A győzteseket a biztonsági ágazat szakembereiből álló bizottság választja ki az információbiztonsági közösségtől összegyűjtött jelölések alapján.
A nyertesek listája
A privilégiumok fokozottabb sérülékenysége: Ez a díj A Qualys cégnek ítélték oda a CVE-2021-3156 biztonsági rés azonosításáért a sudo segédprogramban, amely lehetővé teszi a root jogosultságok megszerzését. A biztonsági rés körülbelül 10 éve jelen van a kódban, és nevezetes azzal a ténnyel, hogy felderítése alapos elemzést igényelt a segédprogram logikájából.
A legjobb szerver hiba: van A technikailag legösszetettebb hiba azonosításáért és kihasználásáért ítélték oda és érdekes a hálózati szolgáltatásban. Azonosításért győzelmet arattak a Microsoft Exchange elleni támadások új vektorát. Az osztály összes sebezhetőségére vonatkozó információ nem került közzétételre, de a CVE-2021-26855 (ProxyLogon) sebezhetőséggel kapcsolatban már közzétettek információkat, amelyek lehetővé teszik az adatok tetszőleges felhasználótól való hitelesítés nélküli lekérését, valamint a CVE-2021-27065, amely lehetővé teszi a kód futtatását egy rendszergazdai jogokkal rendelkező szerveren.
A legjobb titkos támadás: megadták a rendszerek legfontosabb hibáinak azonosítására, protokollok és valódi titkosítási algoritmusok. A díj fA biztonsági rés miatt kiadták a Microsoftnak (CVE-2020-0601) az elliptikus görbe digitális aláírások megvalósításában, amely lehetővé teszi a privát kulcsok nyilvános kulcsokon alapuló generálását. A probléma lehetővé tette hamis TLS -tanúsítványok létrehozását a HTTPS -hez és hamis digitális aláírásokat, amelyeket a Windows megbízhatónak minősített.
A leginnovatívabb kutatás: A díj olyan kutatóknak ítélték oda, akik a BlindSide módszert javasolták hogy elkerülje a cím véletlenszerűségének (ASLR) biztonságát az oldalcsatorna -szivárgások használatával, amelyek a processzor utasításainak spekulatív végrehajtásából erednek.
A legtöbb epikus FAIL hiba: a Microsoftnak ítélték oda a javítás többszörös kiadásáért, amely nem működik a kódfuttatást lehetővé tevő Windows nyomtatási kimeneti rendszer PrintNightmare biztonsági rése (CVE-2021-34527) esetén. Microsoft Kezdetben helyi jelzőként tüntette fel a problémát, de később kiderült, hogy a támadást távolról is meg lehet valósítani. A Microsoft ezután négyszer adott ki frissítéseket, de a megoldás minden alkalommal csak egy speciális esetet fedett le, és a kutatók új módszert találtak a támadás végrehajtására.
A legjobb hiba az ügyfélszoftverben: ez a díj volt egy kutatónak ítélték oda, aki felfedezte a CVE-2020-28341 biztonsági rést a Samsung biztonságos titkosításában, megkapta a CC EAL 5+ biztonsági tanúsítványt. A biztonsági rés lehetővé tette a védelem teljes megkerülését, és hozzáférést kapott a chipen futó kódhoz és az enklávéban tárolt adatokhoz, megkerülte a képernyővédő zárolását, és módosította a firmware -t, hogy rejtett hátsó ajtót hozzon létre.
A leginkább alábecsült sebezhetőség: a díj volt a Qualys -nek ítélték meg az Exim levelezőszerver 21Nails sebezhetőségének azonosításáért, Ebből 10 távolról is kihasználható. Az Exim fejlesztői szkeptikusak voltak a problémák kihasználásával kapcsolatban, és több mint 6 hónapot töltöttek a megoldások kifejlesztésével.
A gyártó leggyengébb válasza: ez egy jelölés a saját termékében található biztonsági résjelentésre adott legelőnyösebb válaszért. A nyertes a Cellebrite, a bűnüldözési törvényszéki és adatbányászati alkalmazás volt. A Cellebrite nem reagált megfelelően a sebezhetőségi jelentésre, amelyet Moxie Marlinspike, a Signal protokoll szerzője tett közzé. Moxie érdeklődni kezdett a Cellebrite iránt, miután közzétett egy médiatörténetet a titkosított jelüzenetek feltörésére szolgáló technológia létrehozásáról, amely később hamisnak bizonyult a Cellebrite weboldalán található cikkben szereplő információk félreértelmezése miatt. A "támadás" fizikai hozzáférést igényelt a telefonhoz és a képernyő feloldásának lehetőségét, vagyis az üzenetek üzenetben való megtekintésére csökkent, de nem manuálisan, hanem egy speciális alkalmazás segítségével, amely szimulálja a felhasználói műveleteket).
Moxie megvizsgálta a Cellebrite alkalmazásokat, és olyan kritikus biztonsági réseket talált, amelyek tetszőleges kód végrehajtását tették lehetővé, amikor speciálisan kialakított adatokat próbáltak beolvasni. A Cellebrite alkalmazás felfedte azt a tényt is, hogy elavult ffmpeg könyvtárat használ, amelyet 9 éve nem frissítettek, és nagyszámú javítás nélküli biztonsági rést tartalmaz. Ahelyett, hogy elismerné a problémákat és kijavítaná őket, a Cellebrite közleményt adott ki, miszerint törődik a felhasználói adatok integritásával, termékei biztonságát a megfelelő szinten tartja.
Végül Legnagyobb eredmény - Ilfak Gilfanovnak, az IDA szétszerelő és a Hex -Rays dekompiler szerzőjének ítélték oda, a biztonsági kutatók eszközeinek kifejlesztésében való közreműködéséért és a termék 30 évig naprakészen tartásáért.
forrás: https://pwnies.com