Ya se dieron a conocer los ganadores de los Pwnie Awards 2021
Se dieron a conocer los ganadores de los premios anuales Pwnie Awards 2021, el cual es un evento destacado, en el cual los participantes dan a conocer las vulnerabilidades más significativas y fallas absurdas en el campo de la seguridad informática.
Los premios Pwnie reconocen tanto la excelencia como la incompetencia en el campo de la seguridad de la información. Los ganadores son seleccionados por un comité de profesionales de la industria de la seguridad a partir de nominaciones recopiladas de la comunidad de seguridad de la información.
Lista de ganadores
Mejor vulnerabilidad de escalada de privilegios: este premio se otorgó a la empresa Qualys por identificar la vulnerabilidad CVE-2021-3156 en la utilidad sudo, que permite obtener privilegios de root. La vulnerabilidad ha estado presente en el código durante unos 10 años y se destaca por el hecho de que su detección requirió un análisis exhaustivo de la lógica de la utilidad.
Mejor error del servidor: este se otorgó por identificar y explotar el error técnicamente más complejo e interesante en un servicio de red. La victoria se otorgó por identificar un nuevo vector de ataques contra Microsoft Exchange. No se ha publicado información sobre todas las vulnerabilidades de esta clase, pero ya se ha divulgado información sobre la vulnerabilidad CVE-2021-26855 (ProxyLogon), que le permite recuperar datos de un usuario arbitrario sin autenticación, y CVE-2021-27065, que le permite ejecutar su código en un servidor con derechos de administrador.
Mejor ataque criptográfico: se otorgó por identificar las fallas más significativas en sistemas, protocolos y algoritmos de cifrado reales. El premio fue entregado a Microsoft por la vulnerabilidad (CVE-2020-0601) en la implementación de firmas digitales de curva elíptica que permite la generación de claves privadas basadas en claves públicas. El problema permitió la creación de certificados TLS falsificados para HTTPS y firmas digitales falsas, que Windows verificó como confiables.
Investigación más innovadora: El premio se otorgó a los investigadores que propusieron el método BlindSide para evitar la seguridad de la aleatorización de direcciones (ASLR) utilizando fugas de canal lateral que resultan de la ejecución especulativa de instrucciones por parte del procesador.
La mayoría de errores de Epic FAIL: otorgado a Microsoft por un lanzamiento múltiple de un parche que no funciona para la vulnerabilidad PrintNightmare (CVE-2021-34527) en el sistema de salida de impresión de Windows que permite que se ejecute su código. Microsoft inicialmente marcó el problema como local, pero luego resultó que el ataque podría llevarse a cabo de forma remota. Luego, Microsoft publicó actualizaciones cuatro veces, pero cada vez la solución solo cubría un caso especial, y los investigadores encontraron una nueva forma de llevar a cabo el ataque.
Mejor error en software cliente: ese premio fue otorgado a un investigador que descubrió la vulnerabilidad CVE-2020-28341 en la criptografía segura de Samsung, recibió el certificado de seguridad de CC EAL 5+. La vulnerabilidad hizo posible omitir por completo la protección y obtener acceso al código ejecutado en el chip y los datos almacenados en el enclave, omitir el bloqueo del protector de pantalla y también realizar cambios en el firmware para crear una puerta trasera oculta.
La vulnerabilidad más subestimada: el premio fue otorgado a Qualys por la identificación de una serie de vulnerabilidades 21Nails en el servidor de correo Exim, 10 de las cuales pueden explotarse de forma remota. Los desarrolladores de Exim se mostraron escépticos sobre la explotación de los problemas y pasaron más de 6 meses desarrollando soluciones.
La respuesta más débil del fabricante: esta es una nominación por la respuesta más inadecuada a un informe de vulnerabilidad en su propio producto. El ganador fue Cellebrite, una aplicación forense y de minería de datos para las fuerzas del orden. Cellebrite no respondió adecuadamente al informe de vulnerabilidad publicado por Moxie Marlinspike, el autor del protocolo Signal. Moxie se interesó en Cellebrite después de publicar una nota en los medios sobre la creación de una tecnología para romper los mensajes de Signal encriptados, que luego resultaron ser falsos, debido a una mala interpretación de la información en el artículo en el sitio web de Cellebrite, que luego fue eliminado (el «ataque» requería acceso físico al teléfono y la capacidad de desbloquear la pantalla, es decir, se redujo a ver mensajes en el mensajero, pero no manualmente, sino usando una aplicación especial que simula las acciones del usuario).
Moxie examinó las aplicaciones de Cellebrite y encontró vulnerabilidades críticas que permitían la ejecución de código arbitrario al intentar escanear datos especialmente diseñados. La aplicación Cellebrite también reveló el hecho de utilizar una biblioteca ffmpeg desactualizada que no se ha actualizado durante 9 años y contiene una gran cantidad de vulnerabilidades sin parchear. En lugar de reconocer los problemas y solucionarlos, Cellebrite emitió una declaración de que se preocupa por la integridad de los datos del usuario, mantiene la seguridad de sus productos en el nivel adecuado.
Finalmente el mayor logro: fue otorgado a Ilfak Gilfanov, autor del desensamblador IDA y descompilador Hex-Rays, por su contribución al desarrollo de herramientas para investigadores de seguridad y su capacidad para mantener el producto actualizado durante 30 años.
Fuente: https://pwnies.com