Os vencedores do Pwnie Awards 2021 anual foram anunciados, que é um evento de destaque, em que os participantes revelam as vulnerabilidades mais significativas e falhas absurdas no domínio da segurança informática.
The Pwnie Awards eles reconhecem a excelência e a incompetência no campo da segurança da informação. Os vencedores são selecionados por um comitê de profissionais da indústria de segurança com base em nomeações coletadas da comunidade de segurança da informação.
Lista de vencedores
Melhor vulnerabilidade de escalonamento de privilégios: Este prêmio Concedido à empresa Qualys por identificar a vulnerabilidade CVE-2021-3156 no utilitário sudo, que permite obter privilégios de root. A vulnerabilidade está presente no código há cerca de 10 anos e é notável pelo fato de que sua detecção exigiu uma análise completa da lógica do utilitário.
Melhor erro de servidor: é Concedido por identificar e explorar o bug mais tecnicamente complexo e interessante em um serviço de rede. A vitória foi concedida por identificar um novo vetor de ataques contra o Microsoft Exchange. As informações sobre todas as vulnerabilidades nesta classe não foram divulgadas, mas as informações já foram divulgadas sobre a vulnerabilidade CVE-2021-26855 (ProxyLogon), que permite recuperar dados de um usuário arbitrário sem autenticação, e CVE-2021-27065, que permite que você execute seu código em um servidor com direitos de administrador.
Melhor ataque de criptografia: foi concedida para identificar as falhas mais significativas em sistemas, protocolos e algoritmos de criptografia reais. O prêmio fFoi lançado para a Microsoft para a vulnerabilidade (CVE-2020-0601) na implementação de assinaturas digitais em curva elíptica que permite a geração de chaves privadas baseadas em chaves públicas. O problema permitiu a criação de certificados TLS forjados para HTTPS e assinaturas digitais falsas, que o Windows verificou como confiáveis.
Pesquisa mais inovadora: O prêmio concedido a pesquisadores que propuseram o método BlindSide para evitar a segurança de randomização de endereço (ASLR) usando vazamentos de canal lateral que resultam da execução especulativa de instruções pelo processador.
A maioria dos erros épicos de FALHA: concedido à Microsoft por um lançamento múltiplo de um patch que não funciona para a vulnerabilidade PrintNightmare (CVE-2021-34527) no sistema de saída de impressão do Windows que permite que seu código seja executado. Microsoft Inicialmente, ele sinalizou o problema como local, mas depois descobriu que o ataque poderia ser realizado remotamente. A Microsoft então lançou atualizações quatro vezes, mas cada vez a solução cobriu apenas um caso especial, e os pesquisadores encontraram uma nova maneira de realizar o ataque.
Melhor bug em software cliente: esse prêmio foi concedido a um pesquisador que descobriu a vulnerabilidade CVE-2020-28341 na criptografia segura da Samsung, recebeu o certificado de segurança CC EAL 5+. A vulnerabilidade tornou possível ignorar completamente a proteção e obter acesso ao código em execução no chip e aos dados armazenados no enclave, ignorar o bloqueio do protetor de tela e também fazer alterações no firmware para criar uma porta dos fundos oculta.
A vulnerabilidade mais subestimada: o prêmio foi concedido à Qualys pela identificação de uma série de vulnerabilidades 21Nails no servidor de e-mail Exim, 10 dos quais podem ser explorados remotamente. Os desenvolvedores do Exim estavam céticos sobre a exploração dos problemas e passaram mais de 6 meses desenvolvendo soluções.
A resposta mais fraca do fabricante: esta é uma nomeação para a resposta mais inadequada a um relatório de vulnerabilidade em seu próprio produto. O vencedor foi o Cellebrite, um aplicativo forense e de mineração de dados para aplicação da lei. A Cellebrite não respondeu adequadamente ao relatório de vulnerabilidade publicado por Moxie Marlinspike, o autor do protocolo Signal. Moxie se interessou pela Cellebrite depois de postar uma matéria na mídia sobre a criação de uma tecnologia para quebrar mensagens criptografadas do Signal, que mais tarde se revelou falsa, devido a uma interpretação errônea da informação no artigo no site da Cellebrite., Que foi posteriormente removido (o o “ataque” exigia acesso físico ao celular e a capacidade de desbloquear a tela, ou seja, era reduzido a visualização de mensagens no messenger, mas não manualmente, mas por meio de um aplicativo especial que simula as ações do usuário).
Moxie examinou os aplicativos Cellebrite e encontrou vulnerabilidades críticas que permitiam a execução de código arbitrário ao tentar fazer a varredura de dados especialmente criados. O aplicativo Cellebrite também revelou o fato de que usa uma biblioteca ffmpeg desatualizada que não foi atualizada por 9 anos e contém um grande número de vulnerabilidades não corrigidas. Em vez de reconhecer os problemas e corrigi-los, a Cellebrite emitiu uma declaração de que se preocupa com a integridade dos dados do usuário e mantém a segurança de seus produtos no nível adequado.
Finalmente Maior Realização - Concedida a Ilfak Gilfanov, autor de desmontador IDA e descompilador Hex-Rays, por sua contribuição no desenvolvimento de ferramentas para pesquisadores de segurança e pela capacidade de manter o produto atualizado por 30 anos.
fonte: https://pwnies.com