Ogłoszono zwycięzców dorocznej edycji Pwnie Awards 2021, to niezwykłe wydarzenie, w którym uczestnicy ujawniają najważniejsze luki i absurdalne wady w dziedzinie bezpieczeństwa komputerowego.
Nagrody Pwnie uznają zarówno doskonałość, jak i niekompetencję w dziedzinie bezpieczeństwa informacji. Zwycięzców wybiera komitet złożony z profesjonalistów z branży bezpieczeństwa na podstawie nominacji zebranych od społeczności zajmującej się bezpieczeństwem informacji.
Lista zwycięzców
Lepsza luka w eskalacji uprawnień: Ta nagroda Przyznany firmie Qualys za zidentyfikowanie luki CVE-2021-3156 w narzędziu sudo, co pozwala na uzyskanie uprawnień administratora. Luka ta jest obecna w kodzie od około 10 lat i wyróżnia się tym, że jej wykrycie wymagało dokładnej analizy logiki narzędzia.
Najlepszy błąd serwera: jest Przyznawany za zidentyfikowanie i wykorzystanie najbardziej złożonego technicznie błędu i interesujące w usłudze sieciowej. Zwycięstwo przyznano za identyfikację nowy wektor ataków na Microsoft Exchange. Informacje o wszystkich podatnościach w tej klasie nie zostały ujawnione, ale zostały już udostępnione informacje o luce CVE-2021-26855 (ProxyLogon), która umożliwia pobieranie danych od dowolnego użytkownika bez uwierzytelnienia, oraz CVE-2021-27065, co pozwala na uruchomienie kodu na serwerze z uprawnieniami administratora.
Najlepszy atak kryptograficzny: Zostało przyznane do identyfikacji najistotniejszych awarii w systemach, protokoły i rzeczywiste algorytmy szyfrowania. Nagroda zaZostała udostępniona firmie Microsoft ze względu na lukę (CVE-2020-0601) w implementacji podpisów cyfrowych z krzywą eliptyczną, która umożliwia generowanie kluczy prywatnych na podstawie kluczy publicznych. Problem umożliwił stworzenie sfałszowanych certyfikatów TLS dla protokołu HTTPS i fałszywych podpisów cyfrowych, które Windows zweryfikował jako godne zaufania.
Najbardziej innowacyjne badania: Nagroda przyznawany naukowcom, którzy zaproponowali metodę BlindSide aby uniknąć bezpieczeństwa randomizacji adresów (ASLR) przy użyciu przecieków kanału bocznego, które wynikają ze spekulatywnego wykonywania instrukcji przez procesor.
Większość błędów Epic FAIL: przyznany firmie Microsoft za wielokrotne wydanie niedziałającej łatki za lukę PrintNightmare (CVE-2021-34527) w systemie wydruku wyjściowego Windows, która umożliwia uruchomienie kodu. Microsoft Początkowo oznaczyła sprawę jako lokalną, ale później okazało się, że atak można przeprowadzić zdalnie. Microsoft wypuścił następnie aktualizacje czterokrotnie, ale za każdym razem rozwiązanie obejmowało tylko jeden szczególny przypadek, a badacze znaleźli nowy sposób przeprowadzenia ataku.
Najlepszy błąd w oprogramowaniu klienckim: ta nagroda była przyznany badaczowi, który odkrył lukę CVE-2020-28341 w bezpiecznej kryptografii Samsunga, otrzymała certyfikat bezpieczeństwa CC EAL 5+. Luka umożliwiła całkowite ominięcie ochrony i uzyskanie dostępu do kodu działającego na chipie oraz danych przechowywanych w enklawie, ominięcie blokady wygaszacza ekranu, a także wprowadzenie zmian w oprogramowaniu układowym w celu stworzenia ukrytych tylnych drzwi.
Najbardziej niedoceniana podatność: nagroda była przyznany Qualys za zidentyfikowanie szeregu podatności 21Nails w serwerze pocztowym Exim, 10 z nich można wykorzystać zdalnie. Deweloperzy Exim byli sceptycznie nastawieni do wykorzystania problemów i spędzili ponad 6 miesięcy na opracowywaniu rozwiązań.
Najsłabsza odpowiedź producenta: to jest nominacja za najbardziej nieodpowiednią odpowiedź na zgłoszenie podatności we własnym produkcie. Zwycięzcą został Cellebrite, aplikacja do kryminalistyki i eksploracji danych dla organów ścigania. Cellebrite nie zareagował odpowiednio na raport o luce opublikowany przez Moxie Marlinspike, autora protokołu Signal. Moxie zainteresowała się Cellebrite po opublikowaniu w mediach historii o stworzeniu technologii łamania zaszyfrowanych wiadomości Signal, która później okazała się fałszywa, ze względu na błędną interpretację informacji zawartych w artykule na stronie internetowej Cellebrite. „Atak” wymagał fizycznego dostępu do telefonu i możliwości odblokowania ekranu, czyli sprowadzał się do przeglądania wiadomości w komunikatorze, ale nie ręcznie, ale za pomocą specjalnej aplikacji symulującej działania użytkownika).
Moxie zbadała aplikacje Cellebrite i znalazła krytyczne luki, które umożliwiały wykonanie dowolnego kodu podczas próby skanowania specjalnie spreparowanych danych. Aplikacja Cellebrite ujawniła również fakt, że korzysta z przestarzałej biblioteki ffmpeg, która nie była aktualizowana od 9 lat i zawiera dużą liczbę niezałatanych luk w zabezpieczeniach. Zamiast uznać problemy i je naprawić, Cellebrite wydał oświadczenie, że dba o integralność danych użytkowników, utrzymuje bezpieczeństwo swoich produktów na odpowiednim poziomie.
W końcu Greatest Achievement - Nagroda dla Ilfaka Gilfanova, autora deasemblera IDA i dekompilatora Hex-Rays, za jego wkład w rozwój narzędzi dla badaczy bezpieczeństwa i jego zdolność do utrzymywania aktualności produktu przez 30 lat.
źródło: https://pwnies.com