Були оголошені переможці щорічної премії Pwnie Awards 2021, що є видатною подією, в якій учасники виявляють найбільш суттєві вразливості та абсурдні недоліки у галузі комп'ютерної безпеки.
Нагороди Pwnie визнати як досконалість, так і некомпетентність у галузі інформаційної безпеки. Переможців обирає комітет професіоналів галузі безпеки на основі номінацій, зібраних від спільноти інформаційної безпеки.
Список переможців
Краща вразливість ескалації привілеїв: Ця нагорода Нагороджений компанією Qualys за виявлення вразливості CVE-2021-3156 в утиліті sudo, що дозволяє отримати кореневі права. Вразливість існує в коді близько 10 років і примітна тим, що її виявлення вимагало ретельного аналізу логіки утиліти.
Найкраща помилка сервера: це Присуджується за виявлення та використання найскладнішої технічної помилки і цікаво в мережевому сервісі. Перемога була вручена за ідентифікацію новий вектор атак проти Microsoft Exchange. Інформація про всі вразливості цього класу не була оприлюднена, але вже була опублікована інформація про вразливість CVE-2021-26855 (ProxyLogon), що дозволяє отримувати дані від довільного користувача без автентифікації, та CVE-2021-27065, що дозволяє запускати свій код на сервері з правами адміністратора.
Найкраща криптоатака: було надано для виявлення найбільш значних збоїв у системах, протоколи та реальні алгоритми шифрування. Приз fВін був випущений корпорації Майкрософт через уразливість (CVE-2020-0601) у реалізації цифрових підписів з еліптичною кривою, що дозволяє генерувати приватні ключі на основі відкритих ключів. Проблема дозволила створити підроблені сертифікати TLS для HTTPS та підроблені цифрові підписи, які Windows перевірила як надійну.
Найбільш інноваційні дослідження: Нагорода нагороджений дослідниками, які запропонували метод BlindSide щоб уникнути безпеки рандомізації адрес (ASLR) з використанням витоків бічних каналів, які є результатом спекулятивного виконання інструкцій процесором.
Найчастіше помилки Epic FAIL: нагороджений Microsoft за багаторазовий випуск патча, який не працює для уразливості PrintNightmare (CVE-2021-34527) у системі виводу друку Windows, що дозволяє запускати ваш код. Microsoft спочатку позначив проблему як локальну, але пізніше виявилося, що атаку можна здійснити віддалено. Тоді Microsoft чотири рази випускала оновлення, але кожного разу рішення стосувалося лише одного особливого випадку, і дослідники знаходили новий спосіб здійснення атаки.
Найкраща помилка в клієнтському програмному забезпеченні: ця нагорода була нагороджений дослідником, який виявив уразливість CVE-2020-28341 у безпечній криптографії Samsung, отримав сертифікат безпеки CC EAL 5+. Вразливість дозволила повністю обійти захист і отримати доступ до коду, що працює на чіпі, та даних, що зберігаються в анклаві, обійти блокування заставки, а також внести зміни до прошивки, щоб створити приховані задні двері.
Найбільш недооцінена вразливість: нагорода була нагороджений Qualys за ідентифікацію ряду вразливостей 21Nails на поштовому сервері Exim, 10 з яких можна використовувати дистанційно. Розробники Exim скептично ставилися до використання проблем і витратили більше 6 місяців на розробку рішень.
Найслабша відповідь від виробника: це номінація за найбільш невідповідну відповідь на звіт про вразливість у вашому власному продукті. Переможцем став Cellebrite - програма для судових експертиз та аналізу даних для правоохоронних органів. Cellebrite не реагувала належним чином на звіт про вразливість, опублікований Моксі Марлінспайк, автором протоколу Signal. Моксі зацікавився Cellebrite, опублікувавши медійну історію про створення технології для розриву зашифрованих повідомлень Signal, яка згодом виявилася неправдивою, через неправильне тлумачення інформації у статті на веб -сайті Cellebrite., Яка пізніше була видалена ( "атака" вимагала фізичного доступу до телефону та можливості розблокування екрана, тобто вона зводилася до перегляду повідомлень у месенджері, але не вручну, а за допомогою спеціального додатка, що імітує дії користувача).
Моксі вивчив програми Cellebrite і виявив критичні вразливості, які дозволяли виконувати довільний код при спробі сканування спеціально створених даних. Додаток Cellebrite також виявив використання застарілої бібліотеки ffmpeg, яка не оновлювалася протягом 9 років і містить велику кількість незаправлених вразливостей. Замість визнати проблеми та виправити їх, Cellebrite опублікувала заяву, що піклується про цілісність даних користувачів, зберігає безпеку своїх продуктів на належному рівні.
В кінці кінців Найбільші досягнення - нагороджено Ільфаком Гільфановим, автором розбирача IDA та декомпілятора Hex -Rays, за його внесок у розробку інструментів для дослідників безпеки та його здатність оновлювати продукт протягом 30 років.
Фуенте: https://pwnies.com