De winnaars van de jaarlijkse Pwnie Awards 2021 zijn bekend gemaakt, dat is een prominente gebeurtenis, waarbij deelnemers de belangrijkste kwetsbaarheden en absurde tekortkomingen op het gebied van computerbeveiliging blootleggen.
De Pwnie Awards zij erkennen zowel excellentie als incompetentie op het gebied van informatiebeveiliging. Winnaars worden geselecteerd door een commissie van professionals uit de beveiligingsindustrie op basis van nominaties die zijn verzameld door de informatiebeveiligingsgemeenschap.
Winnaarslijst
Betere kwetsbaarheid voor escalatie van bevoegdheden: Deze prijs Toegekend aan het bedrijf Qualys voor het identificeren van de kwetsbaarheid CVE-2021-3156 in het sudo-hulpprogramma, waarmee u rootrechten kunt verkrijgen. De kwetsbaarheid is al ongeveer 10 jaar aanwezig in code en valt op door het feit dat de detectie ervan een grondige analyse van de logica van het hulpprogramma vereiste.
Beste serverfout: het Toegekend voor het identificeren en exploiteren van de technisch meest complexe bug en interessant in een netwerkdienst. Overwinning werd toegekend voor het identificeren een nieuwe vector van aanvallen op Microsoft Exchange. Informatie over alle kwetsbaarheden in deze klasse is niet vrijgegeven, maar er is al informatie vrijgegeven over de kwetsbaarheid CVE-2021-26855 (ProxyLogon), waarmee u gegevens van een willekeurige gebruiker kunt ophalen zonder authenticatie, en CVE-2021-27065, waarmee u uw code op een server met beheerdersrechten kunt uitvoeren.
Beste crypto-aanval: werd toegekend voor het identificeren van de belangrijkste storingen in systemen, protocollen en echte coderingsalgoritmen. de prijs fHet is vrijgegeven aan Microsoft vanwege de kwetsbaarheid (CVE-2020-0601) bij de implementatie van digitale handtekeningen met elliptische krommen waarmee privésleutels kunnen worden gegenereerd op basis van openbare sleutels. Het probleem maakte het mogelijk om vervalste TLS-certificaten voor HTTPS en valse digitale handtekeningen te maken, die door Windows als betrouwbaar werden geverifieerd.
Meest innovatieve onderzoek: de award toegekend aan onderzoekers die de BlindSide-methode hebben voorgesteld om de beveiliging van adresrandomisatie (ASLR) te vermijden met behulp van zijkanaallekken die het gevolg zijn van de speculatieve uitvoering van instructies door de processor.
De meeste Epic FAIL-fouten: toegekend aan Microsoft voor een meervoudige release van een patch die niet werkt voor de PrintNightmare-kwetsbaarheid (CVE-2021-34527) in het Windows-afdrukuitvoersysteem waarmee uw code kan worden uitgevoerd. Microsoft Aanvankelijk markeerde het de kwestie als lokaal, maar later bleek dat de aanval op afstand kon worden uitgevoerd. Microsoft bracht vervolgens vier keer updates uit, maar elke keer dekte de oplossing slechts één speciaal geval en vonden de onderzoekers een nieuwe manier om de aanval uit te voeren.
Beste bug in clientsoftware: die prijs was toegekend aan een onderzoeker die de kwetsbaarheid CVE-2020-28341 in de beveiligde cryptografie van Samsung ontdekte, het CC EAL 5+ veiligheidscertificaat ontvangen. De kwetsbaarheid maakte het mogelijk om de beveiliging volledig te omzeilen en toegang te krijgen tot de code die op de chip draait en de gegevens die in de enclave zijn opgeslagen, de screensaververgrendeling te omzeilen en ook wijzigingen aan te brengen in de firmware om een verborgen achterdeur te creëren.
De meest onderschatte kwetsbaarheid: de prijs was toegekend aan Qualys voor de identificatie van een aantal kwetsbaarheden van 21Nails in de Exim mailserver, 10 daarvan kunnen op afstand worden geëxploiteerd. Exim-ontwikkelaars waren sceptisch over het exploiteren van de problemen en besteedden meer dan 6 maanden aan het ontwikkelen van oplossingen.
Het zwakste antwoord van de fabrikant: dit is een nominatie voor de meest ongepaste reactie op een kwetsbaarheidsrapport in uw eigen product. De winnaar was Cellebrite, een forensische en dataminingtoepassing voor wetshandhaving. Cellebrite reageerde niet adequaat op het kwetsbaarheidsrapport gepubliceerd door Moxie Marlinspike, de auteur van het Signal-protocol. Moxie raakte geïnteresseerd in Cellebrite na het plaatsen van een mediaverhaal over het creëren van een technologie om versleutelde signaalberichten te breken, wat later vals bleek te zijn vanwege een verkeerde interpretatie van de informatie in het artikel op de Cellebrite-website. , dat later werd verwijderd (de "aanval" vereiste fysieke toegang tot de telefoon en de mogelijkheid om het scherm te ontgrendelen, dat wil zeggen, het werd teruggebracht tot het bekijken van berichten in de messenger, maar niet handmatig, maar met behulp van een speciale applicatie die gebruikersacties simuleert ).
Moxie onderzocht Cellebrite-applicaties en vond kritieke kwetsbaarheden waardoor willekeurige code kon worden uitgevoerd bij het scannen van speciaal vervaardigde gegevens. De Cellebrite-app onthulde ook dat het een verouderde ffmpeg-bibliotheek gebruikt die al 9 jaar niet is bijgewerkt en een groot aantal niet-gepatchte kwetsbaarheden bevat. In plaats van de problemen te erkennen en op te lossen, heeft Cellebrite een verklaring uitgegeven dat het de integriteit van gebruikersgegevens belangrijk vindt en de beveiliging van zijn producten op het juiste niveau houdt.
Eindelijk Grootste prestatie - Toegekend aan Ilfak Gilfanov, auteur van IDA disassembler en Hex-Rays decompiler, voor zijn bijdrage aan de ontwikkeling van tools voor beveiligingsonderzoekers en zijn vermogen om het product 30 jaar up-to-date te houden.
bron: https://pwnies.com