Pemenang taunan Pwnie Awards 2021 parantos ditangtukeun, nyorot kerentanan anu paling penting sareng kagagalan absurd dina widang kaamanan komputer. Penghargaan Pwnie dianggap sarimbag sareng Oscar sareng Golden Raspberry dina kaamanan komputer.
Juara utama (daptar pesaing):
- Kerentanan escalation hak husus hadé. Kameunangan dileler ka Qualys pikeun ngaidentipikasi kerentanan CVE-2021-3156 dina utilitas sudo, anu ngamungkinkeun pikeun meunangkeun hak istimewa root. Kerentanan parantos aya dina kode sakitar 10 taun sareng kasohor ku kanyataan yén analisa lengkep ngeunaan logika utilitas diperyogikeun pikeun ngaidentipikasi éta.
- bug server pangalusna. Dileler pikeun ngaidentipikasi sareng ngeksploitasi bug anu paling téknis rumit sareng pikaresepeun dina jasa jaringan. Kameunangan dileler pikeun ngaidentipikasi vektor serangan anyar dina Microsoft Exchange. Inpormasi ngeunaan henteu sadayana kerentanan kelas ieu parantos diterbitkeun, tapi inpormasi parantos diungkabkeun ngeunaan kerentanan CVE-2021-26855 (ProxyLogon), anu ngamungkinkeun ékstrak data tina pangguna sawenang tanpa auténtikasi, sareng CVE-2021-27065, anu ngajantenkeun Ieu mungkin pikeun ngaéksekusi kode anjeun dina server kalawan hak administrator.
- Serangan cryptographic pangsaéna. Dileler pikeun ngaidentipikasi cacad anu paling penting dina sistem nyata, protokol, sareng algoritma enkripsi. Penghargaan ieu dipasihkeun ka Microsoft pikeun kerentanan (CVE-2020-0601) dina palaksanaan tanda tangan digital kurva elliptic anu tiasa ngahasilkeun konci pribadi tina konci umum. Masalahna ngamungkinkeun nyiptakeun sertipikat TLS palsu pikeun HTTPS sareng tanda tangan digital fiktif, anu diverifikasi dina Windows salaku dipercaya.
- panalungtikan paling inovatif. Pangajén ieu dibikeun ka panalungtik anu ngajukeun métode BlindSide pikeun bypassing alamat randomization basis panyalindungan (ASLR) ku ngagunakeun bocor sisi-kanal hasilna tina palaksanaan spekulatif parentah ku processor.
- Gagal pangbadagna (Paling Epik GAGAL). Panghargaan ieu dipasihkeun ka Microsoft pikeun perbaikan rusak sababaraha-release pikeun kerentanan PrintNightmare (CVE-2021-34527) dina sistem percetakan Windows anu ngamungkinkeun anjeun ngaéksekusi kode anjeun. Dina awalna, Microsoft flagged masalah salaku lokal, tapi lajeng tétéla yén serangan bisa dilaksanakeun jarak jauh. Teras Microsoft nyebarkeun apdet opat kali, tapi unggal waktos perbaikan ditutup ngan ukur kasus khusus, sareng panaliti mendakan cara énggal pikeun ngalaksanakeun serangan éta.
- Bug pangalusna dina software klien. Tien Juara nyaéta panalungtik anu ngaidentifikasi kerentanan CVE-2020-28341 dina prosesor crypto Samsung anu aman anu nampi sertipikat kaamanan CC EAL 5+. Kerentanan nu ngamungkinkeun pikeun sakabéhna bypass panyalindungan jeung meunang aksés ka kode dieksekusi dina chip sarta data disimpen dina enclave nu, bypass konci screen saver, sarta ogé nyieun parobahan firmware pikeun nyieun backdoor disumputkeun.
- Kerentanan anu paling diremehkeun. Penghargaan ieu dipasihkeun ka Qualys pikeun ngaidentipikasi séri kerentanan 21Nails dina server mail Exim, 10 diantarana tiasa dieksploitasi jarak jauh. Pamekar Exim skeptis ngeunaan kamungkinan ngamangpaatkeun masalah sareng nyéépkeun langkung ti 6 bulan pikeun ngalereskeun perbaikan.
- Réaksi paling lamer ti produsén (Lamest Vendor Response). Nominasi pikeun réspon anu paling pantes pikeun laporan kerentanan dina produk sorangan. Anu meunangna nyaéta Cellebrite, perusahaan anu ngawangun analisis forensik sareng aplikasi pertambangan data pikeun penegak hukum. Cellebrite ngabales teu pantes kana laporan kerentanan anu dipasang ku Moxie Marlinspike, panulis protokol Sinyal. Moxxi janten kabetot dina Cellebrite saatos tulisan média ngeunaan nyiptakeun téknologi anu ngamungkinkeun hacking pesen Sinyal énkripsi, anu engkéna tétéla palsu kusabab salah tafsir inpormasi dina tulisan dina situs wéb Cellebrite, anu teras dihapus (" serangan" diperlukeun aksés fisik ka telepon tur kamampuhan pikeun muka konci layar, i.e. diréduksi jadi nempo pesen dina utusan, tapi teu sacara manual, tapi ngagunakeun aplikasi husus nu simulates lampah pamaké).
Moxxi ngulik aplikasi Cellebrite sareng mendakan kerentanan kritis di dinya anu ngamungkinkeun kode sawenang dieksekusi nalika nyobian nyeken data anu dirancang khusus. Aplikasi Cellebrite ogé kapanggih ngagunakeun perpustakaan ffmpeg luntur anu teu acan diropéa salami 9 taun sareng ngandung sajumlah ageung kerentanan anu teu ditambal. Gantina ngaku masalah sareng ngalereskeun masalah, Cellebrite parantos ngaluarkeun pernyataan yén éta paduli ngeunaan integritas data pangguna, ngajaga kaamanan produkna dina tingkat anu leres, ngaluarkeun pembaruan rutin sareng ngirimkeun aplikasi anu pangsaéna tina jinisna.
- Prestasi pangbadagna. Panghargaan ieu dipasihkeun ka Ilfak Gilfanov, panulis IDA disassembler sareng Hex-Rays decompiler, pikeun kontribusina kana pamekaran alat pikeun peneliti kaamanan sareng kamampuanana pikeun ngajaga produkna dugi ka 30 taun.
sumber: opennet.ru