Buvo paskelbti kasmetinių „Pwnie Awards 2021“ nugalėtojai, kuris yra ryškus įvykis, kurio dalyviai atskleidžia svarbiausius pažeidimus ir absurdiškus trūkumus kompiuterių saugumo srityje.
„Pwnie“ apdovanojimai jie pripažįsta tiek kompetenciją, tiek nekompetenciją informacijos saugumo srityje. Nugalėtojus renka saugumo pramonės profesionalų komitetas, remdamasis informacijos saugumo bendruomenės surinktomis nominacijomis.
Nugalėtojų sąrašas
Geresnis privilegijų didinimo pažeidžiamumas: Šis apdovanojimas Suteikta įmonei „Qualys“ už pažeidimo CVE-2021-3156 nustatymą „sudo“ programoje, kuri leidžia jums įgyti pagrindines teises. Pažeidimas buvo naudojamas kode maždaug 10 metų ir pastebimas tuo, kad jį aptikti reikėjo nuodugniai ištirti naudingumo logiką.
Geriausia serverio klaida: ji yra Apdovanota už techniškai sudėtingiausios klaidos nustatymą ir išnaudojimą ir įdomi tinklo paslauga. Už tapatybę buvo įteikta pergalė naujas atakų prieš „Microsoft Exchange“ vektorius. Informacija apie visus šios klasės pažeidžiamumus nebuvo paskelbta, tačiau jau buvo paskelbta informacija apie pažeidžiamumą CVE-2021-26855 („ProxyLogon“), kuris leidžia nuskaityti duomenis iš savavališko vartotojo be autentifikavimo ir CVE-2021-27065, kuris leidžia paleisti kodą serveryje su administratoriaus teisėmis.
Geriausia kriptografinė ataka: buvo suteikta nustatyti svarbiausius sistemų gedimus, protokolai ir tikri šifravimo algoritmai. Prizas fJis buvo išleistas „Microsoft“ dėl pažeidžiamumo (CVE-2020-0601) įgyvendinant elipsės kreivės skaitmeninius parašus, kurie leidžia generuoti privačius raktus remiantis viešaisiais raktais. Problema leido sukurti suklastotus HTTPS TLS sertifikatus ir suklastotus skaitmeninius parašus, kuriuos „Windows“ patvirtino kaip patikimus.
Naujoviškiausi tyrimai: Apdovanojimas skiriama tyrėjams, pasiūliusiems BlindSide metodą išvengti adresų atsitiktinės atrankos (ASLR) saugumo naudojant šoninio kanalo nutekėjimą, atsirandantį dėl spekuliacinio procesoriaus nurodymų vykdymo.
Dauguma epinių FAIL klaidų: apdovanotas „Microsoft“ už daugkartinį neveikiančio pleistro leidimą dėl „PrintNightmare“ pažeidžiamumo (CVE-2021-34527) „Windows“ spausdinimo išvesties sistemoje, leidžiančioje paleisti jūsų kodą. „Microsoft“ Iš pradžių ši problema buvo pažymėta kaip vietinė, tačiau vėliau paaiškėjo, kad ataka gali būti įvykdyta nuotoliniu būdu. Tada „Microsoft“ keturis kartus išleido atnaujinimus, tačiau kiekvieną kartą sprendimas apėmė tik vieną ypatingą atvejį, o tyrėjai rado naują būdą atakai įvykdyti.
Geriausia kliento programinės įrangos klaida: tas apdovanojimas buvo apdovanotas tyrėju, atradusiu „Samsung“ saugios kriptografijos pažeidžiamumą CVE-2020-28341, gavo CC EAL 5+ saugos sertifikatą. Pažeidžiamumas leido visiškai apeiti apsaugą ir gauti prieigą prie luste veikiančio kodo ir anklave saugomų duomenų, apeiti ekrano užsklandos užraktą, taip pat atlikti programinės įrangos pakeitimus, kad būtų sukurtos paslėptos galinės durys.
Labiausiai neįvertintas pažeidžiamumas: apdovanojimas buvo apdovanotas „Qualys“ už tai, kad buvo identifikuotas „21Nails“ pažeidžiamumas „Exim“ pašto serveryje, Iš kurių 10 galima naudoti nuotoliniu būdu. „Exim“ kūrėjai skeptiškai žiūrėjo į problemų naudojimą ir daugiau nei 6 mėnesius praleido kurdami sprendimus.
Silpniausias gamintojo atsakymas: tai yra nominacija už netinkamiausią atsakymą į jūsų produkto pažeidžiamumo ataskaitą. Nugalėtoju tapo „Cellebrite“ - teismo medicinos ir duomenų gavybos programa teisėsaugai. „Cellebrite“ tinkamai neatsakė į pažeidžiamumo ataskaitą, kurią paskelbė signalo protokolo autorė Moxie Marlinspike. Moxie susidomėjo „Cellebrite“ paskelbus žiniasklaidos istoriją apie technologijos, skirtos šifruotiems signaliniams pranešimams sugriauti, sukūrimą, kuri vėliau pasirodė klaidinga dėl klaidingo „Cellebrite“ svetainės straipsnio straipsnio interpretacijos. „atakai“ reikėjo fizinės prieigos prie telefono ir galimybės atrakinti ekraną, tai yra, ji buvo sumažinta iki pranešimų peržiūros „Messenger“, bet ne rankiniu būdu, o naudojant specialią programą, kuri imituoja vartotojo veiksmus).
Moxie išnagrinėjo „Cellebrite“ programas ir rado kritinių pažeidžiamumų, leidžiančių vykdyti savavališką kodą bandant nuskaityti specialiai sukurtus duomenis. „Cellebrite“ programa taip pat atskleidė faktą, kad joje naudojama pasenusi „ffmpeg“ biblioteka, kuri nebuvo atnaujinta 9 metus ir kurioje yra daug nepataisytų pažeidžiamumų. Užuot pripažinęs problemas ir jas išsprendęs, „Cellebrite“ paskelbė pareiškimą, kad jai rūpi vartotojo duomenų vientisumas, jis užtikrina tinkamą savo produktų saugumą.
Pagaliau Didžiausias pasiekimas - apdovanotas Ilfakui Gilfanovui, IDA ardytojo ir „Hex -Rays“ dekompiliatoriaus autoriui, už jo indėlį kuriant saugumo tyrėjams skirtas priemones ir gebėjimą 30 metų atnaujinti produktą.
Fuente: https://pwnies.com