Pemenang Anugerah Pwnie tahunan 2021 telah ditentukan, menonjolkan kelemahan paling ketara dan kegagalan yang tidak masuk akal dalam bidang keselamatan komputer. Anugerah Pwnie dianggap setara dengan Oscar dan Golden Raspberry dalam keselamatan komputer.
Pemenang utama (senarai pencabar):
- Kerentanan peningkatan keistimewaan yang lebih baik. Kemenangan telah diberikan kepada Qualys kerana mengenal pasti kerentanan CVE-2021-3156 dalam utiliti sudo, yang membolehkan mendapatkan keistimewaan root. Kerentanan telah wujud dalam kod selama kira-kira 10 tahun dan terkenal kerana fakta bahawa analisis menyeluruh terhadap logik utiliti diperlukan untuk mengenal pastinya.
- Pepijat pelayan terbaik. Dianugerahkan kerana mengenal pasti dan mengeksploitasi pepijat yang paling rumit dan menarik dari segi teknikal dalam perkhidmatan rangkaian. Kemenangan itu diberikan kerana mengenal pasti vektor serangan baharu pada Microsoft Exchange. Maklumat tentang bukan semua kelemahan kelas ini telah diterbitkan, tetapi maklumat telah pun didedahkan tentang kerentanan CVE-2021-26855 (ProxyLogon), yang membolehkan mengekstrak data daripada pengguna sewenang-wenangnya tanpa pengesahan, dan CVE-2021-27065, yang menjadikan adalah mungkin untuk melaksanakan kod anda pada pelayan dengan hak pentadbir.
- Serangan kriptografi terbaik. Dianugerahkan kerana mengenal pasti kelemahan paling ketara dalam sistem sebenar, protokol dan algoritma penyulitan. Anugerah itu diberikan kepada Microsoft untuk kelemahan (CVE-2020-0601) dalam pelaksanaan tandatangan digital lengkung elips yang boleh menjana kunci peribadi daripada kunci awam. Masalah ini membenarkan penciptaan sijil TLS palsu untuk HTTPS dan tandatangan digital rekaan, yang telah disahkan dalam Windows sebagai boleh dipercayai.
- Penyelidikan yang paling inovatif. Anugerah itu diberikan kepada penyelidik yang mencadangkan kaedah BlindSide untuk memintas perlindungan berasaskan rawak alamat (ASLR) dengan menggunakan kebocoran saluran sisi akibat pelaksanaan spekulatif arahan oleh pemproses.
- Kegagalan terbesar (Most Epic FAIL). Anugerah itu diberikan kepada Microsoft untuk pembetulan rosak berbilang keluaran untuk kelemahan PrintNightmare (CVE-2021-34527) dalam sistem pencetakan Windows yang membolehkan anda melaksanakan kod anda. Pada mulanya, Microsoft menandai masalah itu sebagai tempatan, tetapi kemudian ternyata serangan itu boleh dilakukan dari jauh. Kemudian Microsoft menerbitkan kemas kini empat kali, tetapi setiap kali pembaikan hanya menutup kes khas, dan para penyelidik menemui cara baharu untuk melakukan serangan itu.
- Pepijat terbaik dalam perisian klien. Pemenangnya ialah penyelidik yang mengenal pasti kelemahan CVE-2020-28341 dalam pemproses kripto Samsung selamat yang menerima sijil keselamatan CC EAL 5+. Kerentanan memungkinkan untuk memintas sepenuhnya perlindungan dan mendapatkan akses kepada kod yang dilaksanakan pada cip dan data yang disimpan dalam enklaf, memintas kunci penyelamat skrin, dan juga membuat perubahan pada perisian tegar untuk mencipta pintu belakang tersembunyi.
- Kelemahan yang paling dipandang remeh. Anugerah itu diberikan kepada Qualys kerana mengenal pasti siri kelemahan 21Nails dalam pelayan mel Exim, 10 daripadanya boleh dieksploitasi dari jauh. Pembangun Exim ragu-ragu tentang kemungkinan mengeksploitasi masalah dan menghabiskan lebih daripada 6 bulan untuk membangunkan pembaikan.
- Reaksi paling lamer pengeluar (Lamest Vendor Response). Pencalonan untuk respons yang paling tidak sesuai terhadap laporan kelemahan dalam produk sendiri. Pemenangnya ialah Cellebrite, sebuah syarikat yang membina analisis forensik dan aplikasi perlombongan data untuk penguatkuasaan undang-undang. Cellebrite bertindak balas secara tidak wajar kepada laporan kelemahan yang disiarkan oleh Moxie Marlinspike, pengarang protokol Isyarat. Moxxi mula berminat dengan Cellebrite selepas artikel media tentang penciptaan teknologi yang membenarkan menggodam mesej Isyarat yang disulitkan, yang kemudiannya ternyata palsu kerana salah tafsir maklumat dalam artikel di laman web Cellebrite, yang kemudiannya dialih keluar (β serangan itu" memerlukan akses fizikal kepada telefon dan keupayaan untuk membuka kunci skrin, iaitu dikurangkan kepada melihat mesej dalam messenger, tetapi tidak secara manual, tetapi menggunakan aplikasi khas yang menyerupai tindakan pengguna).
Moxxi mengkaji aplikasi Cellebrite dan menemui kelemahan kritikal di sana yang membenarkan kod arbitrari dilaksanakan apabila cuba mengimbas data yang direka khas. Aplikasi Cellebrite juga didapati menggunakan perpustakaan ffmpeg lapuk yang tidak dikemas kini selama 9 tahun dan mengandungi sejumlah besar kelemahan yang tidak ditambal. Daripada mengakui masalah dan menyelesaikan masalah, Cellebrite telah mengeluarkan kenyataan bahawa ia mengambil berat tentang integriti data pengguna, mengekalkan keselamatan produknya pada tahap yang sepatutnya, mengeluarkan kemas kini biasa dan menyampaikan aplikasi terbaik seumpamanya.
- Pencapaian terbesar. Anugerah itu diberikan kepada Ilfak Gilfanov, pengarang pembongkar IDA dan penyahkompil Hex-Rays, atas sumbangannya kepada pembangunan alat untuk penyelidik keselamatan dan keupayaannya untuk memastikan produk dikemas kini selama 30 tahun.
Sumber: opennet.ru