הוכרזו הזוכים בפרסי Pwnie השנתיים 2021, שהוא אירוע בולט, בו המשתתפים חושפים את הפגיעות והפגמים האבסורדיים ביותר בתחום אבטחת המחשב.
פרסי הפווני הם מכירים הן במצוינות והן בחוסר יכולת בתחום אבטחת המידע. הזוכים נבחרים על ידי ועדה של אנשי מקצוע בענף האבטחה ממועמדות שנאספו מקהילת אבטחת המידע.
רשימת הזוכים
פגיעות בהסלמת זכויות יוצרים טובה יותר: הפרס הזה הוענק לחברת Qualys על זיהוי הפגיעות CVE-2021-3156 בכלי השירות sudo, המאפשר לך לקבל הרשאות שורש. הפגיעות קיימת בקוד במשך כעשר שנים ובולטת בעובדה שזיהויה דרש ניתוח מעמיק של ההיגיון של השירות.
שגיאת השרת הטובה ביותר: זה הוענק על זיהוי וניצול הבאג המורכב ביותר מבחינה טכנית ומעניין בשירות רשת. ניצחון הוענק על זיהוי וקטור חדש של התקפות נגד Microsoft Exchange. מידע על כל הפגיעויות במחלקה זו לא פורסם, אך מידע כבר פורסם אודות הפגיעות CVE-2021-26855 (ProxyLogon), המאפשרת לאחזר נתונים ממשתמש שרירותי ללא אימות, ו- CVE-2021-27065, המאפשר לך להריץ את הקוד שלך בשרת בעל זכויות מנהל.
מתקפת הקריפטו הטובה ביותר: הוענק לזיהוי הכשלים המשמעותיים ביותר במערכות, פרוטוקולים ואלגוריתמי הצפנה אמיתיים. הפרס והוא שוחרר ל- Microsoft בשל הפגיעות (CVE-2020-0601) ביישום חתימות דיגיטליות של עקומה אליפטית המאפשרות יצירת מפתחות פרטיים המבוססים על מפתחות ציבוריים. הבעיה אפשרה ליצור תעודות TLS מזויפות עבור HTTPS וחתימות דיגיטליות מזויפות, ש- Windows אימתה כי הן מהימנות.
מחקר חדשני ביותר: הפרס מוענק לחוקרים שהציעו את שיטת BlindSide כדי להימנע מאבטחת אקראיות כתובות (ASLR) באמצעות דליפות ערוץ צדדיות הנובעות מביצוע ספקולטיבי של הוראות על ידי המעבד.
רוב השגיאות Epic FAIL: הוענקו למיקרוסופט על מהדורה מרובה של תיקון שאינו עובד בגלל הפגיעות של PrintNightmare (CVE-2021-34527) במערכת פלט ההדפסה של Windows המאפשרת להפעיל את הקוד שלך. מיקרוסופט בתחילה הוא סימן את הנושא כמקומי, אך מאוחר יותר התברר כי ניתן לבצע את הפיגוע מרחוק. לאחר מכן פרסמה מיקרוסופט עדכונים ארבע פעמים, אך בכל פעם הפתרון כיסה רק מקרה אחד מיוחד, והחוקרים מצאו דרך חדשה לבצע את המתקפה.
הבאג הטוב ביותר בתוכנת לקוח: הפרס הזה היה הוענק לחוקר שגילה את הפגיעות CVE-2020-28341 בקריפטוגרפיה המאובטחת של סמסונג, קיבל את תעודת הבטיחות CC EAL 5+. הפגיעות אפשרה לעקוף לחלוטין את ההגנה ולקבל גישה לקוד הפועל על השבב ולנתונים המאוחסנים במובלעת, לעקוף את נעילת שומר המסך, וגם לבצע שינויים בקושחה ליצירת דלת אחורית מוסתרת.
הפגיעות המוערכת ביותר: הפרס היה הוענקו ל- Qualys לזיהוי מספר נקודות תורפה של 21Nails בשרת הדואר Exim, 10 מתוכם ניתנים לניצול מרחוק. מפתחי Exim היו ספקנים לגבי ניצול הנושאים ובילו יותר מ -6 חודשים בפיתוח פתרונות.
התשובה החלשה ביותר מהיצרן: זו מועמדות לתגובה הבלתי הולמת ביותר לדוח פגיעות במוצר שלך. הזוכה היה Cellebrite, יישום משפטי וכריית נתונים לאכיפת החוק. סלברייט לא הגיבה כראוי לדוח הפגיעות שפרסם מוקסי מרלינספייק, מחבר פרוטוקול האותות. מוקסי התעניין בסלברייט לאחר שפרסם סיפור תקשורתי אודות יצירת טכנולוגיה לשבירת הודעות אות מוצפנות, שהתברר מאוחר יותר כשגויות, בשל פרשנות שגויה של המידע במאמר באתר סלברייט., שהוסרה מאוחר יותר ( "התקפה" דרשה גישה פיזית לטלפון ויכולת נעילת המסך, כלומר הוא הופחת לצפייה בהודעות במסנג'ר, אך לא באופן ידני, אלא באמצעות יישום מיוחד המדמה פעולות משתמש).
מוקסי בחנה יישומי Cellebrite ומצאה נקודות תורפה קריטיות שאפשרו ביצוע קוד שרירותי בעת ניסיון לסרוק נתונים שנוצרו במיוחד. אפליקציית Cellebrite חשפה גם את העובדה שהיא משתמשת בספריית ffmpeg מיושנת שלא עודכנה במשך 9 שנים ומכילה מספר רב של נקודות תורפה שלא תוקנו. במקום להכיר בבעיות ולתקן אותן, פרסמה סלברייט הצהרה כי היא דואגת לשלמות נתוני המשתמש, ושומרת על אבטחת מוצריה ברמה הנכונה.
בסופו של דבר ההישג הגדול ביותר - הוענק לאילפק גילפנוב, מחבר מפרק IDA ופירוק Hex -Rays., על תרומתו לפיתוח כלים לחוקרי אבטחה ויכולתו לשמור על המוצר מעודכן למשך 30 שנה.
מקור: https://pwnies.com