Tika paziņoti ikgadējās Pwnie Awards 2021 uzvarētāji, kas ir ievērojams notikums, kurā dalībnieki atklāj būtiskākās ievainojamības un absurdās nepilnības datoru drošības jomā.
Pwnie balvas viņi atzīst gan izcilību, gan neprasmi informācijas drošības jomā. Uzvarētājus izvēlas drošības nozares profesionāļu komiteja, pamatojoties uz nominācijām, kas savāktas no informācijas drošības kopienas.
Uzvarētāju saraksts
Labāka privilēģiju eskalācijas ievainojamība: Šī balva Piešķirts uzņēmumam Qualys par ievainojamības CVE-2021-3156 identificēšanu utilītprogrammā sudo, kas ļauj iegūt root tiesības. Ievainojamība kodā ir bijusi aptuveni 10 gadus, un tā ir ievērojama ar to, ka tās noteikšanai bija nepieciešama rūpīga utilīta loģikas analīze.
Labākā servera kļūda: tas ir Apbalvots par tehniski sarežģītākās kļūdas identificēšanu un izmantošanu un interesants tīkla pakalpojumā. Uzvara tika piešķirta par identificēšanu jauns uzbrukumu vektors pret Microsoft Exchange. Informācija par visām šīs klases ievainojamībām nav izlaista, taču jau ir izlaista informācija par ievainojamību CVE-2021-26855 (ProxyLogon), kas ļauj izgūt datus no patvaļīga lietotāja bez autentifikācijas, un CVE-2021-27065, kas ļauj palaist savu kodu serverī ar administratora tiesībām.
Labākais kriptogrāfijas uzbrukums: tika piešķirts lai identificētu nozīmīgākās sistēmas kļūmes, protokoli un reāli šifrēšanas algoritmi. Balva fTas tika izlaists korporācijai Microsoft ievainojamības dēļ (CVE-2020-0601) eliptiskās līknes digitālo parakstu ieviešanā, kas ļauj ģenerēt privātās atslēgas, pamatojoties uz publiskajām atslēgām. Problēma ļāva izveidot viltotus HTTPS TLS sertifikātus un viltotus ciparparakstus, kurus sistēma Windows pārbaudīja kā uzticamus.
Novatoriskākie pētījumi: Balva piešķirta pētniekiem, kuri ierosināja BlindSide metodi lai izvairītos no adrešu nejaušināšanas (ASLR) drošības, izmantojot sānu kanālu noplūdes, kas izriet no procesora spekulatīvas instrukciju izpildes.
Lielākā daļa episko FAIL kļūdu: piešķirta korporācijai Microsoft par vairākkārtēju ielāpu, kas nedarbojas par PrintNightmare ievainojamību (CVE-2021-34527) Windows drukas izvades sistēmā, kas ļauj palaist jūsu kodu. Microsoft Sākotnēji tā atzīmēja problēmu kā lokālu, taču vēlāk izrādījās, ka uzbrukumu var veikt attālināti. Pēc tam Microsoft četras reizes izlaida atjauninājumus, taču katru reizi risinājums aptvēra tikai vienu īpašu gadījumu, un pētnieki atrada jaunu veidu, kā veikt uzbrukumu.
Labākā kļūda klienta programmatūrā: tā balva bija piešķirts pētniekam, kurš Samsung drošajā kriptogrāfijā atklāja ievainojamību CVE-2020-28341, saņēma CC EAL 5+ drošības sertifikātu. Ievainojamība ļāva pilnībā apiet aizsardzību un piekļūt kodam, kas darbojas mikroshēmā, un anklāvā saglabātajiem datiem, apiet ekrānsaudzētāja bloķēšanu, kā arī veikt izmaiņas programmaparatūrā, lai izveidotu slēptas aizmugurējās durvis.
Visvairāk nenovērtētā ievainojamība: balva bija piešķirts Qualys par vairāku 21Nails ievainojamību identificēšanu Exim pasta serverī, 10 no tiem var izmantot attālināti. Exim izstrādātāji bija skeptiski noskaņoti par problēmu izmantošanu un pavadīja vairāk nekā 6 mēnešus, izstrādājot risinājumus.
Vājākā ražotāja atbilde: šī ir nominācija par visnepiemērotāko atbildi uz jūsu produkta ievainojamības ziņojumu. Uzvarēja Cellebrite, tiesu medicīnas un datu ieguves lietojumprogramma tiesībaizsardzības iestādēm. Cellebrite nereaģēja adekvāti uz ievainojamības ziņojumu, ko publicēja Moksija Marlinspika, Signāla protokola autors. Moksija sāka interesēties par Cellebrite pēc tam, kad publicēja mediju sižetu par tehnoloģijas izveidi šifrētu Signal ziņojumu izjaukšanai, kas vēlāk izrādījās nepatiess, jo Cellebrite tīmekļa vietnē tika nepareizi interpretēta rakstā sniegtā informācija. , kas vēlāk tika noņemta ( "uzbrukumam" bija nepieciešama fiziska piekļuve tālrunim un iespēja atbloķēt ekrānu, tas ir, tas tika samazināts līdz ziņojumu skatīšanai kurjerā, bet ne manuāli, bet izmantojot īpašu lietojumprogrammu, kas simulē lietotāja darbības ).
Moksija pārbaudīja Cellebrite lietojumprogrammas un atklāja kritiskas ievainojamības, kas ļāva izpildīt patvaļīgu kodu, mēģinot skenēt īpaši izstrādātus datus. Cellebrite lietotne arī atklāja faktu, ka tā izmanto novecojušu ffmpeg bibliotēku, kas nav atjaunināta 9 gadus un satur lielu skaitu neaizlāgotu ievainojamību. Tā vietā, lai atzītu problēmas un tās novērstu, Cellebrite nāca klajā ar paziņojumu, ka rūpējas par lietotāju datu integritāti un uztur savu produktu drošību atbilstošā līmenī.
Beidzot Lielākais sasniegums — piešķirts Ilfakam Gilfanovam, IDA disassembler un Hex-Rays dekompilatora autoram, par ieguldījumu drošības pētnieku rīku izstrādē un spēju nodrošināt produkta atjaunināšanu 30 gadus.
Fuente: https://pwnies.com