U shpallën fituesit e Pwnie Awards vjetore 2021, e cila është një ngjarje e jashtëzakonshme, në të cilën pjesëmarrësit zbulojnë dobësitë më të rëndësishme dhe defektet absurde në fushën e sigurisë kompjuterike.
Çmimet Pwnie ata njohin përsosmërinë dhe paaftësinë në fushën e sigurisë së informacionit. Fituesit zgjidhen nga një komitet i profesionistëve të industrisë së sigurisë nga nominimet e mbledhura nga komuniteti i sigurisë së informacionit.
Lista e fituesve
Cenueshmëri më e mirë e përshkallëzimit të privilegjeve: Ky çmim I jepet kompanisë Qualys për identifikimin e dobësisë CVE-2021-3156 në programin sudo, e cila ju lejon të fitoni privilegje rrënjësore. Dobësia ka qenë e pranishme në kod për rreth 10 vjet dhe është e dukshme për faktin se zbulimi i tij kërkoi një analizë të plotë të logjikës së shërbimeve.
Gabimi më i mirë i serverit: kjo Çmuar për identifikimin dhe shfrytëzimin e defektit më kompleks teknikisht dhe interesante në një shërbim të rrjetit. Fitorja u dha për identifikimin një vektor i ri sulmesh kundër Microsoft Exchange. Informacioni për të gjitha dobësitë në këtë klasë nuk është lëshuar, por informacioni tashmë është lëshuar në lidhje me dobësinë CVE-2021-26855 (ProxyLogon), i cili ju lejon të merrni të dhëna nga një përdorues arbitrar pa vërtetim, dhe CVE-2021-27065, e cila ju lejon të ekzekutoni kodin tuaj në një server me të drejta administratori.
Sulmi më i mirë i kriptove: u dha për identifikimin e dështimeve më të rëndësishme në sisteme, protokollet dhe algoritmet reale të kriptimit. Çmimi fU lëshua te Microsoft për dobësinë (CVE-2020-0601) në zbatimin e nënshkrimeve dixhitale të kurbës eliptike që lejon gjenerimin e çelësave privatë të bazuar në çelësat publikë. Çështja lejoi krijimin e certifikatave të falsifikuara TLS për HTTPS dhe nënshkrimet dixhitale të rreme, të cilat Windows i verifikoi si të besueshme.
Hulumtimi më novator: Çmimi u jepet studiuesve që propozuan metodën BlindSide për të shmangur sigurinë e rastësimit të adresave (ASLR) duke përdorur rrjedhjet anësore të kanaleve që rezultojnë nga ekzekutimi spekulativ i udhëzimeve nga procesori.
Gabimet më Epike FAIL: i jepet Microsoft -it për një lëshim të shumëfishtë të një arnimi që nuk funksionon për dobësinë PrintNightmare (CVE-2021-34527) në sistemin e daljes së printimit Windows që lejon që kodi juaj të ekzekutohet. Microsoft fillimisht e shënoi çështjen si lokale, por më vonë doli se sulmi mund të kryhej nga distanca. Microsoft lëshoi përditësime katër herë, por çdo herë zgjidhja mbuloi vetëm një rast të veçantë, dhe studiuesit gjetën një mënyrë të re për të kryer sulmin.
Gabimi më i mirë në softuerin e klientit: ai çmim ishte iu dha një studiuesi që zbuloi dobësinë CVE-2020-28341 në kriptografinë e sigurt të Samsung, mori certifikatën e sigurisë CC EAL 5+. Dobësia bëri të mundur anashkalimin e plotë të mbrojtjes dhe marrjen e aksesit në kodin që funksionon në çip dhe të dhënat e ruajtura në enklavë, anashkalimin e kyçjes së ruajtësit të ekranit, si dhe bërjen e ndryshimeve në firmware për të krijuar një derë të pasme të fshehur.
Cenueshmëria më e nënvlerësuar: Çmimi ishte iu dha Qualys për identifikimin e një numri të dobësive 21Nails në serverin e postës Exim, 10 prej të cilave mund të shfrytëzohen nga distanca. Zhvilluesit e Exim ishin skeptikë në lidhje me shfrytëzimin e çështjeve dhe kaluan më shumë se 6 muaj në zhvillimin e zgjidhjeve.
Përgjigja më e dobët nga prodhuesi: ky është një nominim për përgjigjen më të papërshtatshme ndaj një raporti të cenueshmërisë në produktin tuaj. Fituesi ishte Cellebrite, një aplikim mjeko -ligjor dhe minierash për zbatimin e ligjit. Cellebrite nuk iu përgjigj në mënyrë adekuate raportit të cenueshmërisë të publikuar nga Moxie Marlinspike, autori i protokollit të Sinjalit. Moxie u interesua për Cellebrite pasi postoi një histori në media për krijimin e një teknologjie për të thyer mesazhet e koduara të Signal, të cilat më vonë dolën të ishin të rreme, për shkak të një keqinterpretimi të informacionit në artikullin në faqen e internetit të Cellebrite., I cili u hoq më vonë ( "sulmi" kërkonte qasje fizike në telefon dhe aftësinë për të zhbllokuar ekranin, domethënë, u reduktua në shikimin e mesazheve në të dërguarin, por jo me dorë, por duke përdorur një aplikacion special që simulon veprimet e përdoruesit).
Moxie ekzaminoi aplikacionet Cellebrite dhe gjeti dobësi kritike që lejuan ekzekutimin e kodit arbitrar kur përpiqeshit të skanoni të dhëna të krijuara posaçërisht. Aplikacioni Cellebrite gjithashtu zbuloi duke përdorur një bibliotekë të vjetëruar ffmpeg që nuk është azhurnuar për 9 vjet dhe përmban një numër të madh të dobësive të pakapshme. Në vend që të pranojë çështjet dhe t'i rregullojë ato, Cellebrite lëshoi një deklaratë se kujdeset për integritetin e të dhënave të përdoruesit, mban sigurinë e produkteve të saj në nivelin e duhur.
Më në fund Arritja më e madhe - I është dhënë Ilfak Gilfanov, autor i çmontuesit IDA dhe dekompiluesit të Hex -Rays, për kontributin e tij në zhvillimin e mjeteve për kërkuesit e sigurisë dhe aftësinë e tij për ta mbajtur produktin të përditësuar për 30 vjet.
Fuente: https://pwnies.com