Проглашени победници годишњих награда Пвние Авардс 2021, што је истакнути догађај, у којем учесници откривају најзначајније рањивости и апсурдне недостатке на пољу рачунарске безбедности.
Награде Пвние препознају и изврсност и неспособност на пољу информационе безбедности. Победнике бира комисија стручњака из индустрије безбедности из номинација прикупљених из заједнице информационе безбедности.
Листа победника
Боља рањивост повећања привилегија: Ова награда Додељено компанији Куалис за идентификацију рањивости ЦВЕ-2021-3156 у услужном програму судо, који вам омогућава да стекнете роот привилегије. Рањивост је присутна у коду око 10 година и значајна је по чињеници да је њено откривање захтевало темељиту анализу логике комуналног предузећа.
Најбоља грешка сервера: је Додељује се за идентификацију и експлоатацију технички најсложеније грешке и занимљив у мрежном сервису. Победа је додељена за идентификацију нови вектор напада на Мицрософт Екцханге. Информације о свим рањивостима у овој класи нису објављене, али су већ објављене информације о рањивости ЦВЕ-2021-26855 (ПрокиЛогон), која вам омогућава да преузмете податке од произвољног корисника без аутентификације, и ЦВЕ-2021-27065, који вам омогућава да покренете свој код на серверу са администраторским правима.
Најбољи крипто напад: је добила за идентификацију најзначајнијих кварова у системима, протоколи и прави алгоритми шифровања. Награда фОбјављено је корпорацији Мицрософт због рањивости (ЦВЕ-2020-0601) у имплементацији дигиталних потписа елиптичне криве која омогућава генерисање приватних кључева на основу јавних кључева. Проблем је омогућио стварање лажних ТЛС сертификата за ХТТПС и лажне дигиталне потписе, за које је Виндовс потврдио да су поуздани.
Најиновативније истраживање: Награда додељује се истраживачима који су предложили методу БлиндСиде да би се избегла сигурност рандомизације адреса (АСЛР) коришћењем цурења бочних канала који су резултат спекулативног извршавања инструкција од стране процесора.
Већина грешака Епиц ФАИЛ: додељује се Мицрософту за више издања закрпе која не функционише за рањивост ПринтНигхтмаре (ЦВЕ-2021-34527) у Виндовс систему за штампање који омогућава покретање кода. Мицрософт у почетку је проблем означавао као локални, али се касније показало да се напад могао извршити даљински. Мицрософт је тада четири пута објављивао ажурирања, али сваки пут је решење покривало само један посебан случај, а истраживачи су пронашли нови начин да изведу напад.
Најбоља грешка у клијентском софтверу: та награда је била додељује се истраживачу који је открио рањивост ЦВЕ-2020-28341 у Самсунговој сигурној криптографији, године добио сертификат о безбедности ЦЦ ЕАЛ 5+. Рањивост је омогућила потпуно заобилажење заштите и приступ коду који ради на чипу и подацима похрањеним у енклави, заобилажење закључавања чувара екрана, као и измене фирмвера како би се створила скривена задња врата.
Најцењенија рањивост: награда је била додељен Куалис -у за идентификацију бројних 21Наилс рањивости на серверу поште Еким, Од којих се 10 може експлоатирати на даљину. Програмери Екима били су скептични у погледу искоришћавања проблема и провели су више од 6 месеци у развоју решења.
Најслабији одговор произвођача: ово је номинација за најнеприкладнији одговор на извештај о рањивости у вашем производу. Победио је Целлебрите, апликација за форензику и рударење података за спровођење закона. Целлебрите није адекватно реаговала на извештај о рањивости који је објавила Мокие Марлинспике, ауторка протокола Сигнал. Мокие се заинтересовао за Целлебрите након што је објавио медијску причу о стварању технологије за разбијање шифрованих сигналних порука, за коју се касније испоставило да је лажна, због погрешног тумачења информација у чланку на веб страници Целлебрите., Која је касније уклоњена ( „напад“ је захтевао физички приступ телефону и могућност откључавања екрана, односно свео се на преглед порука у месинџеру, али не ручно, већ коришћењем посебне апликације која симулира радње корисника).
Мокие је прегледао апликације Целлебрите и открио критичне рањивости које су дозвољавале извршавање произвољног кода при покушају скенирања посебно израђених података. Апликација Целлебрите открила је и коришћење застареле библиотеке ффмпег која није ажурирана 9 година и садржи велики број неисправљених рањивости. Умјесто да призна проблеме и ријеши их, Целлебрите је објавио изјаву да брине о интегритету корисничких података, чува сигурност својих производа на одговарајућем нивоу.
Коначно Највеће достигнуће - додељено Илфаку Гилфанову, аутору ИДА растављача и декомпилера Хек -Раис, за његов допринос развоју алата за истраживаче безбедности и његову способност да одржава производ ажурираним 30 година.
izvor: https://pwnies.com