Pemenang saka Pwnie Awards 2021 taunan wis ditemtokake, nyorot kerentanan sing paling penting lan kegagalan sing ora masuk akal ing bidang keamanan komputer. Pwnie Awards dianggep padha karo Oscar lan Golden Raspberry ing keamanan komputer.
Pemenang utama (dhaptar pesaing):
- Kerentanan eskalasi hak istimewa sing luwih apik. Kamenangan kasebut dianugerahi kanggo Qualys kanggo ngenali kerentanan CVE-2021-3156 ing utilitas sudo, sing ngidini entuk hak istimewa root. Kerentanan wis ana ing kode kasebut kira-kira 10 taun lan misuwur amarga analisa lengkap babagan logika sarana kasebut dibutuhake kanggo ngenali.
- Bug Server paling apik. Dianugerahi kanggo ngenali lan ngeksploitasi bug sing paling rumit lan menarik kanthi teknis ing layanan jaringan. Kamenangan kasebut dianugerahi kanggo ngenali vektor serangan anyar ing Microsoft Exchange. Informasi babagan ora kabeh kerentanan kelas iki wis diterbitake, nanging informasi wis diumumake babagan kerentanan CVE-2021-26855 (ProxyLogon), sing ngidini ngekstrak data saka pangguna sewenang-wenang tanpa otentikasi, lan CVE-2021-27065, sing ndadekake iku bisa kanggo nglakokaké kode ing server karo hak administrator.
- Serangan kriptografi paling apik. Dianugerahi kanggo ngenali cacat paling penting ing sistem nyata, protokol, lan algoritma enkripsi. Penghargaan kasebut diwenehake marang Microsoft kanggo kerentanan (CVE-2020-0601) ing implementasine tanda tangan digital kurva eliptik sing bisa ngasilake kunci pribadi saka kunci umum. Masalah kasebut ngidini nggawe sertifikat TLS palsu kanggo HTTPS lan tandha digital fiktif, sing diverifikasi ing Windows minangka dipercaya.
- Riset paling inovatif. Penghargaan kasebut diwenehake marang peneliti sing ngusulake metode BlindSide kanggo ngliwati proteksi Address Randomization Based Leverage (ASLR) kanthi nggunakake bocor saluran sisih akibat saka eksekusi spekulatif instruksi dening prosesor.
- Gagal paling gedhe (Most Epic FAIL). Penghargaan kasebut diwènèhaké marang Microsoft kanggo sawetara rilis sing rusak kanggo kerentanan PrintNightmare (CVE-2021-34527) ing sistem pencetakan Windows sing ngidini sampeyan nglakokaké kode sampeyan. Kaping pisanan, Microsoft nyatakake masalah kasebut minangka lokal, nanging ternyata serangan kasebut bisa ditindakake kanthi jarak jauh. Banjur Microsoft nerbitake nganyari kaping papat, nanging saben-saben fix ditutup mung kasus khusus, lan peneliti nemokake cara anyar kanggo nindakake serangan kasebut.
- Bug paling apik ing piranti lunak klien. Pemenang yaiku peneliti sing ngenali kerentanan CVE-2020-28341 ing pemroses crypto Samsung sing aman sing nampa sertifikat keamanan CC EAL 5+. Kerentanan kasebut bisa ngliwati proteksi lan entuk akses menyang kode sing dieksekusi ing chip lan data sing disimpen ing enclave, ngliwati kunci screen saver, lan uga nggawe owah-owahan ing firmware kanggo nggawe backdoor sing didhelikake.
- Kerentanan sing paling disepelekake. Penghargaan kasebut diwenehake marang Qualys kanggo ngenali seri kerentanan 21Nails ing server mail Exim, 10 sing bisa dimanfaatake kanthi jarak jauh. Pangembang Exim mamang babagan kemungkinan ngeksploitasi masalah kasebut lan ngenteni luwih saka 6 wulan kanggo ndandani.
- Reaksi paling lamer saka pabrikan (Lamest Vendor Response). Nominasi kanggo respon sing paling ora cocog kanggo laporan kerentanan ing produk dhewe. Pemenang yaiku Cellebrite, perusahaan sing mbangun analisis forensik lan aplikasi pertambangan data kanggo penegakan hukum. Cellebrite nanggapi kanthi ora cocog karo laporan kerentanan sing dikirim dening Moxie Marlinspike, penulis protokol Sinyal. Moxxi dadi kasengsem ing Cellebrite sawise artikel media babagan nggawe teknologi sing ngidini hacking pesen Sinyal sing dienkripsi, sing banjur dadi palsu amarga salah interpretasi informasi ing artikel ing situs web Cellebrite, sing banjur dibusak (" serangan" mbutuhake akses fisik menyang telpon lan kemampuan kanggo mbukak kunci layar, i.e. suda kanggo ndeleng pesen ing utusan, nanging ora kanthi manual, nanging nggunakake aplikasi khusus sing simulasi tumindak pangguna).
Moxxi sinau aplikasi Cellebrite lan nemokake kerentanan kritis ing kana sing ngidini kode sewenang-wenang dieksekusi nalika nyoba mindhai data sing dirancang khusus. Aplikasi Cellebrite uga ditemokake nggunakake perpustakaan ffmpeg lawas sing durung dianyari suwene 9 taun lan ngemot akeh kerentanan sing durung ditambal. Tinimbang ngakoni masalah lan ndandani masalah, Cellebrite wis ngetokake pratelan yen dheweke peduli karo integritas data pangguna, njaga keamanan produk ing tingkat sing tepat, ngeculake update reguler lan ngirim aplikasi paling apik saka jinise.
- Prestasi paling gedhe. Penghargaan kasebut diwenehake marang Ilfak Gilfanov, penulis IDA disassembler lan Hex-Rays decompiler, kanggo kontribusi kanggo pangembangan alat kanggo peneliti keamanan lan kemampuan kanggo njaga produk nganti 30 taun.
Source: opennet.ru