Pemenang Pwnie Awards 2021 tahunan telah ditentukan, menyoroti kerentanan paling signifikan dan kegagalan absurd di bidang keamanan komputer. Penghargaan Pwnie dianggap setara dengan Oscar dan Golden Raspberry dalam keamanan komputer.
Pemenang utama (daftar pesaing):
- Kerentanan eskalasi hak istimewa yang lebih baik. Kemenangan diberikan kepada Qualys karena mengidentifikasi kerentanan CVE-2021-3156 di utilitas sudo, yang memungkinkan untuk mendapatkan hak akses root. Kerentanan telah ada dalam kode selama sekitar 10 tahun dan terkenal karena analisis menyeluruh terhadap logika utilitas diperlukan untuk mengidentifikasinya.
- Bug server terbaik. Diberikan karena mengidentifikasi dan mengeksploitasi bug yang paling rumit secara teknis dan menarik dalam layanan jaringan. Kemenangan tersebut diberikan karena mengidentifikasi vektor serangan baru di Microsoft Exchange. Informasi tentang tidak semua kerentanan kelas ini telah dipublikasikan, tetapi informasi telah diungkapkan tentang kerentanan CVE-2021-26855 (ProxyLogon), yang memungkinkan penggalian data dari pengguna sewenang-wenang tanpa otentikasi, dan CVE-2021-27065, yang membuat mungkin untuk mengeksekusi kode Anda di server dengan hak administrator.
- Serangan kriptografi terbaik. Diberikan karena mengidentifikasi kelemahan paling signifikan dalam sistem nyata, protokol, dan algoritme enkripsi. Penghargaan tersebut diberikan kepada Microsoft untuk kerentanan (CVE-2020-0601) dalam penerapan tanda tangan digital kurva eliptik yang dapat menghasilkan kunci privat dari kunci publik. Masalahnya memungkinkan pembuatan sertifikat TLS palsu untuk HTTPS dan tanda tangan digital fiktif, yang diverifikasi di Windows sebagai dapat dipercaya.
- Penelitian paling inovatif. Penghargaan tersebut diberikan kepada peneliti yang mengusulkan metode BlindSide untuk melewati perlindungan berbasis pengacakan alamat (ASLR) dengan menggunakan kebocoran saluran samping yang dihasilkan dari eksekusi spekulatif instruksi oleh prosesor.
- Kegagalan terbesar (GAGAL Paling Epik). Penghargaan ini diberikan kepada Microsoft untuk perbaikan kerusakan multi-rilis untuk kerentanan PrintNightmare (CVE-2021-34527) di sistem pencetakan Windows yang memungkinkan Anda mengeksekusi kode Anda. Pada awalnya, Microsoft menandai masalah sebagai lokal, tetapi ternyata serangan itu dapat dilakukan dari jarak jauh. Kemudian Microsoft menerbitkan pembaruan empat kali, tetapi setiap kali perbaikan hanya menutup kasus khusus, dan para peneliti menemukan cara baru untuk melakukan serangan.
- Bug terbaik dalam perangkat lunak klien. Pemenangnya adalah peneliti yang mengidentifikasi kerentanan CVE-2020-28341 dalam prosesor kripto Samsung aman yang menerima sertifikat keamanan CC EAL 5+. Kerentanan memungkinkan untuk sepenuhnya melewati perlindungan dan mendapatkan akses ke kode yang dijalankan pada chip dan data yang disimpan di kantong, melewati kunci screen saver, dan juga membuat perubahan pada firmware untuk membuat pintu belakang tersembunyi.
- Kerentanan yang paling diremehkan. Penghargaan diberikan kepada Qualys karena mengidentifikasi serangkaian kerentanan 21Nails di server email Exim, 10 di antaranya dapat dieksploitasi dari jarak jauh. Pengembang Exim skeptis tentang kemungkinan mengeksploitasi masalah dan menghabiskan lebih dari 6 bulan untuk mengembangkan perbaikan.
- Reaksi paling lamer dari pabrikan (Lamest Vendor Response). Nominasi untuk tanggapan yang paling tidak tepat terhadap laporan kerentanan dalam produknya sendiri. Pemenangnya adalah Cellebrite, sebuah perusahaan yang membangun aplikasi analisis forensik dan data mining untuk penegakan hukum. Cellebrite menanggapi secara tidak tepat laporan kerentanan yang diposting oleh Moxie Marlinspike, penulis protokol Signal. Moxxi menjadi tertarik pada Cellebrite setelah artikel media tentang pembuatan teknologi yang memungkinkan peretasan pesan Signal terenkripsi, yang kemudian ternyata palsu karena salah menafsirkan informasi dalam artikel di situs web Cellebrite, yang kemudian dihapus (“ serangan itu” membutuhkan akses fisik ke telepon dan kemampuan untuk membuka kunci layar, mis. direduksi menjadi melihat pesan di messenger, tetapi tidak secara manual, tetapi menggunakan aplikasi khusus yang mensimulasikan tindakan pengguna).
Moxxi mempelajari aplikasi Cellebrite dan menemukan kerentanan kritis di sana yang memungkinkan kode arbitrer dieksekusi saat mencoba memindai data yang dirancang khusus. Aplikasi Cellebrite juga ditemukan menggunakan pustaka ffmpeg usang yang belum diperbarui selama 9 tahun dan berisi sejumlah besar kerentanan yang belum ditambal. Alih-alih mengakui masalah dan memperbaiki masalah, Cellebrite telah mengeluarkan pernyataan bahwa mereka peduli dengan integritas data pengguna, menjaga keamanan produknya pada tingkat yang tepat, merilis pembaruan rutin, dan menghadirkan aplikasi terbaik dari jenisnya.
- Pencapaian terbesar. Penghargaan tersebut diberikan kepada Ilfak Gilfanov, penulis disassembler IDA dan dekompiler Hex-Rays, atas kontribusinya dalam pengembangan alat untuk peneliti keamanan dan kemampuannya untuk menjaga produk tetap mutakhir selama 30 tahun.
Sumber: opennet.ru