Au fost anunțați câștigătorii premiilor anuale Pwnie Awards 2021, care este un eveniment proeminent, în care participanții relevă cele mai semnificative vulnerabilități și defecte absurde în domeniul securității computerelor.
Premiile Pwnie recunosc atât excelența, cât și incompetența în domeniul securității informațiilor. Câștigătorii sunt selectați de un comitet de profesioniști din industria de securitate pe baza nominalizărilor colectate de la comunitatea de securitate a informațiilor.
Lista câștigătorilor
Vulnerabilitate mai bună la escaladarea privilegiilor: Acest premiu a fost premiat companiei Qualys pentru identificarea vulnerabilității CVE-2021-3156 în utilitarul sudo, care vă permite să obțineți privilegii de root. Vulnerabilitatea este prezentă în cod de aproximativ 10 ani și se remarcă prin faptul că detectarea ei a necesitat o analiză amplă a logicii utilitarului.
Cea mai bună eroare a serverului: acest a fost premiat pentru identificarea și exploatarea celei mai complexe erori din punct de vedere tehnic și interesant într-un serviciu de rețea. Victoria a fost acordată pentru identificare un nou vector de atacuri împotriva Microsoft Exchange. Informațiile despre toate vulnerabilitățile acestei clase nu au fost publicate, dar au fost deja dezvăluite informații despre vulnerabilitatea CVE-2021-26855 (ProxyLogon), care vă permite să preluați date de la un utilizator arbitrar fără autentificare și CVE-2021-27065, care vă permite să rulați codul pe un server cu drepturi de administrator.
Cel mai bun atac criptografic: a fost premiat pentru identificarea celor mai semnificative defecțiuni ale sistemelor, protocoale și algoritmi de criptare reali. Premiul fpredat Microsoft pentru vulnerabilitate (CVE-2020-0601) în implementarea semnăturilor digitale cu curbă eliptică care permit generarea de chei private pe baza cheilor publice. Problema a permis crearea de certificate TLS falsificate pentru HTTPS și semnături digitale false, pe care Windows le-a verificat ca fiind de încredere.
Cea mai inovatoare cercetare: Premiul a fost acordat cercetătorilor care au propus metoda BlindSide pentru a ocoli securitatea randomizării adresei (ASLR) folosind scurgeri de canal lateral care rezultă din execuția speculativă a instrucțiunilor de către procesor.
Cele mai multe erori epice FAIL: acordat Microsoft pentru o lansare multiplă a unui patch care nu funcționează pentru vulnerabilitatea PrintNightmare (CVE-2021-34527) în sistemul de imprimare Windows care permite executarea codului. Microsoft Inițial a marcat problema ca fiind locală, dar ulterior s-a dovedit că atacul ar putea fi efectuat de la distanță. Microsoft a lansat apoi actualizări de patru ori, dar de fiecare dată remedierea a acoperit doar un caz special, iar cercetătorii au găsit o nouă modalitate de a efectua atacul.
Cel mai bun bug din software-ul clientului: premiul acela a fost acordat unui cercetător care a descoperit vulnerabilitatea CVE-2020-28341 în Samsung Secure Cryptography, a primit certificatul de siguranță CC EAL 5+. Vulnerabilitatea a făcut posibilă ocolirea completă a protecției și obținerea accesului la codul executat pe cip și datele stocate în enclavă, ocolirea blocării economizorului de ecran și, de asemenea, efectuarea modificărilor firmware-ului pentru a crea o ușă ascunsă.
Cea mai subestimată vulnerabilitate: premiul a fost acordat Qualys pentru identificarea unei serii de vulnerabilități 21Nails în serverul de e-mail Exim, dintre care 10 pot fi exploatate de la distanță. Dezvoltatorii Exim au fost sceptici cu privire la exploatarea problemelor și au petrecut mai mult de 6 luni să dezvolte remedieri.
Cel mai slab răspuns al producătorului: aceasta este o nominalizare pentru cel mai neadecvat răspuns la un raport de vulnerabilitate din propriul produs. Câștigătorul a fost Cellebrite, o aplicație de exploatare a datelor și criminalistică pentru forțele de ordine. Cellebrite nu a răspuns în mod adecvat raportului de vulnerabilitate publicat de Moxie Marlinspike, autorul protocolului Signal. Moxie s-a interesat de Cellebrite după ce a publicat o poveste media despre crearea unei tehnologii de spargere a mesajelor Signal criptate, care ulterior s-au dovedit a fi false, din cauza unei interpretări greșite a informațiilor din articolul de pe site-ul Cellebrite, care a fost ulterior eliminat („atacul ” necesita acces fizic la telefon și posibilitatea de a debloca ecranul, adică se reducea la vizualizarea mesajelor în messenger, dar nu manual, ci folosind o aplicație specială care simulează acțiunile utilizatorului ).
Moxie a examinat aplicațiile Cellebrite și a găsit vulnerabilități critice care au permis executarea unui cod arbitrar atunci când încerca să scaneze date special concepute. Aplicația Cellebrite a dezvăluit, de asemenea, utilizarea unei biblioteci ffmpeg învechite, care nu a fost actualizată de 9 ani și conține un număr mare de vulnerabilități nepatchate. În loc să recunoască problemele și să le remedieze, Cellebrite a emis o declarație conform căreia îi pasă de integritatea datelor utilizatorilor, păstrează securitatea produselor sale la nivelul corespunzător.
În cele din urmă cea mai mare realizare: a fost acordată lui Ilfak Gilfanov, autorul dezasamblatorului IDA și al decompilatorului Hex-Rays, pentru contribuția sa la dezvoltarea instrumentelor pentru cercetătorii de securitate și pentru capacitatea sa de a menține produsul actualizat timp de 30 de ani.
Fuente: https://pwnies.com