プロホスト > ブログ > インターネットニュース > Pwnie Awards 2021: 最も重大な脆弱性とセキュリティ障害

Pwnie Awards 2021: 最も重大な脆弱性とセキュリティ障害

毎年恒例の Pwnie Awards 2021 の受賞者が発表され、コンピューター セキュリティにおける最も重大な脆弱性と不条理な失敗に焦点が当てられました。 プニー賞は、コンピューター セキュリティの分野ではオスカー賞やゴールデン ラズベリー賞に相当すると考えられています。

主な受賞者 (候補者のリスト):

  • 権限昇格につながる最も優れた脆弱性。 この勝利は、root 権限の取得を可能にする sudo ユーティリティの脆弱性 CVE-2021-3156 を特定した Qualys に与えられました。 この脆弱性は約 10 年間コードに存在しており、それを特定するにはユーティリティのロジックを徹底的に分析する必要があった点で注目に値します。
  • 最高のサーバーバグ。 ネットワーク サービスにおける技術的に最も複雑で興味深いバグを特定し、悪用したことに対して授与されます。 この勝利は、Microsoft Exchange に対する新たな攻撃ベクトルを特定したことにより授与されました。 このクラスのすべての脆弱性に関する情報は公開されていませんが、認証なしで任意のユーザーのデータを抽出できる脆弱性 CVE-2021-26855 (ProxyLogon) および CVE-2021-27065 についてはすでに情報が公開されています。 , これにより、管理者権限を持つサーバー上でコードを実行できるようになります。
  • 最強の暗号攻撃。 実際のシステム、プロトコル、暗号化アルゴリズムにおける最も重大なギャップを特定したことに対して授与されます。 この賞は、公開キーに基づいて秘密キーを生成できる、楕円曲線に基づくデジタル署名の実装における脆弱性 (CVE-2020-0601) に対して Microsoft に授与されました。 この問題により、HTTPS 用の偽の TLS 証明書や、Windows によって信頼できると検証された架空のデジタル署名が作成される可能性がありました。
  • これまでで最も革新的な研究。 この賞は、プロセッサによる命令の投機的実行によって生じるサイドチャネル リークを利用して、アドレスベースのランダム化 (ASLR) 保護をバイパスするブラインドサイド手法を提案した研究者に授与されました。
  • 最大の失敗(Most Epic FAIL)。 この賞は、コード実行を可能にする Windows 印刷システムの PrintNightmare 脆弱性 (CVE-2021-34527) に対する壊れた修正を繰り返しリリースした Microsoft に授与されました。 Microsoft は当初、この問題はローカルの問題であるとフラグを立てていましたが、その後、攻撃はリモートで実行される可能性があることが判明しました。 その後、Microsoft は XNUMX 回アップデートを公開しましたが、毎回の修正は特殊なケースを解決するだけであり、研究者たちは攻撃を実行する新しい方法を発見しました。
  • クライアント ソフトウェアの最大のバグ。 勝者は、Samsung セキュア暗号プロセッサの CVE-2020-28341 脆弱性を特定し、CC EAL 5+ セキュリティ証明書を取得した研究者でした。 この脆弱性により、セキュリティを完全にバイパスして、チップ上で実行されているコードやエンクレーブに保存されているデータにアクセスしたり、スクリーン セーバー ロックをバイパスしたり、ファームウェアを変更して隠しバックドアを作成したりすることが可能になりました。
  • 最も過小評価されている脆弱性。 この賞は、Exim メール サーバー内の一連の 21Nails 脆弱性を特定した Qualys に授与され、そのうち 10 件はリモートから悪用される可能性があります。 Exim の開発者は、この問題が悪用される可能性があることに懐疑的で、修正の開発に 6 か月以上を費やしました。
  • 最悪のベンダーの対応。 自社製品の脆弱性に関するメッセージに対する最も不適切な対応にノミネートされます。 優勝したのは、法執行機関によるフォレンジック分析とデータ抽出のためのアプリケーションを作成する企業、Cellebrite でした。 Cellebrite は、Signal プロトコルの作成者である Moxie Marlinspike によって送信された脆弱性レポートに適切に対応しませんでした。 モクシー氏は、暗号化されたシグナルメッセージのハッキングを可能にする技術の開発に関するメモがメディアで公開された後、セレブライトに興味を持ちましたが、後にそのメモは、セレブライトのウェブサイト上の記事の情報の誤解により偽物であることが判明しました。その後削除されました(「攻撃」には電話への物理的なアクセスとロック画面を削除する機能が必要でした。つまり、メッセンジャーでメッセージを表示するだけでしたが、手動ではなく、ユーザーのアクションをシミュレートする特別なアプリケーションを使用しました)。

    Moxey 氏は Cellebrite アプリケーションを研究し、特別に設計されたデータをスキャンしようとすると任意のコードが実行される可能性がある重大な脆弱性を発見しました。 Cellebrite アプリケーションは、9 年間更新されていない古い ffmpeg ライブラリを使用しており、パッチが適用されていない脆弱性を多数含んでいることも判明しました。 Cellebriteは、問題を認めて解決するのではなく、ユーザーデータの完全性を重視し、自社製品のセキュリティを適切なレベルに維持し、定期的にアップデートをリリースし、この種のアプリケーションとして最高のものを提供するとの声明を発表した。

  • 最大の成果。 この賞は、IDA 逆アセンブラと Hex-Rays 逆コンパイラの作者である Ilfak Gilfanov に授与され、セキュリティ研究者向けツールの開発への貢献と、最新の製品を 30 年間維持する能力が評価されました。

出所: オープンネット.ru

コメントを追加します