Sono stati annunciati i vincitori dell'annuale Pwnie Awards 2021, che è un evento di primo piano, in cui i partecipanti rivelano le vulnerabilità più significative e le falle assurde nel campo della sicurezza informatica.
I Pwnie Awards riconoscono sia l'eccellenza che l'incompetenza nel campo della sicurezza delle informazioni. I vincitori vengono selezionati da un comitato di professionisti del settore della sicurezza in base alle candidature raccolte dalla comunità della sicurezza delle informazioni.
Elenco dei vincitori
Migliore vulnerabilità all'escalation dei privilegi: Questo premio Assegnato alla società Qualys per aver identificato la vulnerabilità CVE-2021-3156 nell'utility sudo, che ti consente di ottenere i privilegi di root. La vulnerabilità è presente nel codice da circa 10 anni e si distingue per il fatto che la sua individuazione ha richiesto un'analisi approfondita della logica dell'utilità.
Miglior errore del server: è Conferito per aver identificato e sfruttato il bug tecnicamente più complesso e interessante in un servizio di rete. La vittoria è stata assegnata per l'identificazione un nuovo vettore di attacchi contro Microsoft Exchange. Non sono state rilasciate informazioni su tutte le vulnerabilità in questa classe, ma sono già state rilasciate informazioni sulla vulnerabilità CVE-2021-26855 (ProxyLogon), che consente di recuperare dati da un utente arbitrario senza autenticazione, e CVE-2021-27065, che ti consente di eseguire il tuo codice su un server con diritti di amministratore.
Miglior attacco crittografico: Era garantito per identificare i guasti più significativi nei sistemi, protocolli e algoritmi di crittografia reali. Il premio fÈ stato rilasciato a Microsoft per la vulnerabilità (CVE-2020-0601) nell'implementazione di firme digitali a curva ellittica che consentono la generazione di chiavi private basate su chiavi pubbliche. Il problema ha consentito la creazione di certificati TLS contraffatti per HTTPS e firme digitali false, che Windows ha verificato come affidabili.
La ricerca più innovativa: Il premio assegnato ai ricercatori che hanno proposto il metodo BlindSide per evitare la sicurezza della randomizzazione degli indirizzi (ASLR) utilizzando perdite di canali laterali che derivano dall'esecuzione speculativa di istruzioni da parte del processore.
La maggior parte degli errori Epic FAIL: assegnato a Microsoft per un rilascio multiplo di una patch che non funziona per la vulnerabilità PrintNightmare (CVE-2021-34527) nel sistema di output di stampa di Windows che consente l'esecuzione del codice. Microsoft Inizialmente ha contrassegnato il problema come locale, ma in seguito si è scoperto che l'attacco poteva essere effettuato da remoto. Microsoft ha quindi rilasciato aggiornamenti quattro volte, ma ogni volta la soluzione copriva solo un caso speciale e i ricercatori hanno trovato un nuovo modo per eseguire l'attacco.
Miglior bug nel software client: quel premio era assegnato a un ricercatore che ha scoperto la vulnerabilità CVE-2020-28341 nella crittografia sicura di Samsung, ricevuto il certificato di sicurezza CC EAL 5+. La vulnerabilità ha permesso di bypassare completamente la protezione e ottenere l'accesso al codice in esecuzione sul chip e ai dati archiviati nell'enclave, bypassare il blocco dello screen saver e anche apportare modifiche al firmware per creare una backdoor nascosta.
La vulnerabilità più sottovalutata: il premio è stato assegnato a Qualys per l'identificazione di una serie di vulnerabilità 21Nails nel server di posta Exim, 10 dei quali fruibili da remoto. Gli sviluppatori Exim erano scettici sullo sfruttamento dei problemi e hanno trascorso più di 6 mesi a sviluppare soluzioni.
La risposta più debole del produttore: questa è una nomina per la risposta più inappropriata a una segnalazione di vulnerabilità nel tuo prodotto. Il vincitore è stato Cellebrite, un'applicazione forense e di data mining per le forze dell'ordine. Cellebrite non ha risposto adeguatamente al rapporto di vulnerabilità pubblicato da Moxie Marlinspike, l'autore del protocollo Signal. Moxie si interessò a Cellebrite dopo aver pubblicato un articolo sui media sulla creazione di una tecnologia per violare i messaggi Signal crittografati, che in seguito si è rivelato falso, a causa di un'errata interpretazione delle informazioni nell'articolo sul sito Web di Cellebrite. , che è stato successivamente rimosso (il "attacco" richiedeva l'accesso fisico al telefono e la possibilità di sbloccare lo schermo, cioè era ridotto alla visualizzazione dei messaggi nel messenger, ma non manualmente, ma utilizzando un'applicazione speciale che simula le azioni dell'utente ).
Moxie ha esaminato le applicazioni Cellebrite e ha trovato vulnerabilità critiche che consentivano l'esecuzione di codice arbitrario durante il tentativo di scansione di dati appositamente predisposti. L'app Cellebrite ha anche rivelato il fatto che utilizza una libreria ffmpeg obsoleta che non è stata aggiornata per 9 anni e contiene un gran numero di vulnerabilità senza patch. Piuttosto che riconoscere i problemi e risolverli, Cellebrite ha rilasciato una dichiarazione che si preoccupa dell'integrità dei dati dell'utente, mantiene la sicurezza dei suoi prodotti al livello corretto.
Infine Greatest Achievement - Assegnato a Ilfak Gilfanov, autore di IDA disassembler e Hex-Rays decompiler, per il suo contributo allo sviluppo di strumenti per i ricercatori sulla sicurezza e per la sua capacità di mantenere aggiornato il prodotto per 30 anni.
fonte: https://pwnies.com