ผู้ชนะรางวัล Pwnie Awards ประจำปี 2021 ได้รับการตัดสินแล้ว โดยเน้นถึงช่องโหว่ที่สำคัญที่สุดและความล้มเหลวที่ไร้สาระในด้านการรักษาความปลอดภัยคอมพิวเตอร์ Pwnie Awards ถือเป็นรางวัลที่เทียบเท่ากับรางวัลออสการ์และ Golden Raspberry ในด้านความปลอดภัยของคอมพิวเตอร์
ผู้ชนะหลัก (รายชื่อผู้เข้าแข่งขัน):
- ช่องโหว่การยกระดับสิทธิ์ที่ดีขึ้น ชัยชนะดังกล่าวตกเป็นของ Qualys ในการระบุช่องโหว่ CVE-2021-3156 ในยูทิลิตี้ sudo ซึ่งช่วยให้ได้รับสิทธิ์รูท ช่องโหว่ดังกล่าวมีอยู่ในโค้ดมาประมาณ 10 ปีแล้ว และเป็นที่น่าสังเกตว่าต้องมีการวิเคราะห์ตรรกะของยูทิลิตี้อย่างละเอียดถี่ถ้วนจึงจะระบุได้
- บั๊กเซิร์ฟเวอร์ที่ดีที่สุด ได้รับรางวัลสำหรับการระบุและใช้ประโยชน์จากจุดบกพร่องทางเทคนิคที่ซับซ้อนและน่าสนใจที่สุดในบริการเครือข่าย ชัยชนะครั้งนี้มอบให้สำหรับการระบุเวกเตอร์ใหม่ของการโจมตีบน Microsoft Exchange ข้อมูลเกี่ยวกับช่องโหว่ระดับนี้ไม่ได้ถูกเผยแพร่ทั้งหมด แต่มีการเปิดเผยข้อมูลแล้วเกี่ยวกับช่องโหว่ CVE-2021-26855 (ProxyLogon) ซึ่งอนุญาตให้ดึงข้อมูลจากผู้ใช้โดยพลการโดยไม่ต้องตรวจสอบสิทธิ์ และ CVE-2021-27065 ซึ่งทำให้ เป็นไปได้ที่จะรันโค้ดของคุณบนเซิร์ฟเวอร์ที่มีสิทธิ์ของผู้ดูแลระบบ
- การโจมตีด้วยการเข้ารหัสที่ดีที่สุด ได้รับรางวัลสำหรับการระบุข้อบกพร่องที่สำคัญที่สุดในระบบจริง โปรโตคอล และอัลกอริทึมการเข้ารหัส รางวัลนี้มอบให้กับ Microsoft สำหรับช่องโหว่ (CVE-2020-0601) ในการใช้งานลายเซ็นดิจิทัลแบบวงรีที่สามารถสร้างคีย์ส่วนตัวจากคีย์สาธารณะ ปัญหาดังกล่าวทำให้สามารถสร้างใบรับรอง TLS ปลอมสำหรับ HTTPS และลายเซ็นดิจิทัลปลอม ซึ่งผ่านการตรวจสอบใน Windows ว่าเชื่อถือได้
- การวิจัยที่ทันสมัยที่สุด รางวัลนี้มอบให้กับนักวิจัยที่เสนอวิธี BlindSide สำหรับการเลี่ยงผ่านการป้องกันตามที่อยู่แบบสุ่ม (ASLR) โดยใช้การรั่วไหลของช่องสัญญาณด้านข้างซึ่งเป็นผลมาจากการดำเนินการตามคำสั่งโดยคาดเดาโดยโปรเซสเซอร์
- ความล้มเหลวครั้งใหญ่ที่สุด (Most Epic FAIL) รางวัลดังกล่าวมอบให้กับ Microsoft สำหรับการแก้ไขช่องโหว่ PrintNightmare (CVE-2021-34527) ในระบบการพิมพ์ของ Windows ที่ทำให้คุณสามารถรันโค้ดได้ ในตอนแรก Microsoft ตั้งค่าสถานะปัญหาเป็นแบบโลคัล แต่กลับกลายเป็นว่าการโจมตีสามารถดำเนินการได้จากระยะไกล จากนั้นไมโครซอฟต์เผยแพร่การอัปเดตสี่ครั้ง แต่ทุกครั้งที่แก้ไขจะปิดเฉพาะกรณีพิเศษ และนักวิจัยพบวิธีใหม่ในการดำเนินการโจมตี
- บั๊กที่ดีที่สุดในซอฟต์แวร์ไคลเอนต์ ผู้ชนะคือนักวิจัยที่ระบุช่องโหว่ CVE-2020-28341 ในโปรเซสเซอร์เข้ารหัสลับของ Samsung ที่ได้รับใบรับรองความปลอดภัย CC EAL 5+ ช่องโหว่นี้ทำให้สามารถข้ามการป้องกันได้อย่างสมบูรณ์และเข้าถึงรหัสที่ดำเนินการบนชิปและข้อมูลที่จัดเก็บไว้ในวงล้อม ข้ามการล็อกโปรแกรมรักษาหน้าจอ และยังทำการเปลี่ยนแปลงเฟิร์มแวร์เพื่อสร้างประตูหลังที่ซ่อนอยู่
- ช่องโหว่ที่ประเมินต่ำที่สุด รางวัลนี้มอบให้กับ Qualys สำหรับการระบุชุดช่องโหว่ 21Nails ในเซิร์ฟเวอร์อีเมล Exim ซึ่ง 10 รายการสามารถโจมตีจากระยะไกลได้ นักพัฒนา Exim ไม่เชื่อเกี่ยวกับความเป็นไปได้ในการใช้ประโยชน์จากปัญหาและใช้เวลามากกว่า 6 เดือนในการพัฒนาการแก้ไข
- ปฏิกิริยาที่ช้าที่สุดของผู้ผลิต (Lamest Vendor Response) การเสนอชื่อสำหรับการตอบสนองที่ไม่เหมาะสมที่สุดต่อรายงานช่องโหว่ในผลิตภัณฑ์ของตนเอง ผู้ชนะคือ Cellebrite บริษัทที่สร้างการวิเคราะห์ทางนิติวิทยาศาสตร์และแอปพลิเคชันขุดข้อมูลสำหรับการบังคับใช้กฎหมาย Cellebrite ตอบสนองต่อรายงานช่องโหว่ที่โพสต์โดย Moxie Marlinspike ผู้เขียนโปรโตคอล Signal อย่างไม่เหมาะสม Moxxi เริ่มสนใจ Cellebrite หลังจากบทความสื่อเกี่ยวกับการสร้างเทคโนโลยีที่อนุญาตให้แฮ็คข้อความสัญญาณที่เข้ารหัสซึ่งต่อมากลายเป็นของปลอมเนื่องจากมีการตีความข้อมูลผิดในบทความบนเว็บไซต์ Cellebrite ซึ่งต่อมาถูกลบออก (“ การโจมตี” ต้องการการเข้าถึงทางกายภาพไปยังโทรศัพท์และความสามารถในการปลดล็อกหน้าจอ เช่น ลดการดูข้อความใน Messenger แต่ไม่ใช่ด้วยตนเอง แต่ใช้แอปพลิเคชันพิเศษที่จำลองการกระทำของผู้ใช้)
Moxxi ศึกษาแอปพลิเคชัน Cellebrite และพบช่องโหว่ที่สำคัญซึ่งอนุญาตให้ใช้รหัสตามอำเภอใจเมื่อพยายามสแกนข้อมูลที่ออกแบบมาเป็นพิเศษ นอกจากนี้ ยังพบว่าแอปพลิเคชัน Cellebrite ใช้ไลบรารี ffmpeg ที่ล้าสมัยซึ่งไม่ได้รับการอัปเดตเป็นเวลา 9 ปี และมีช่องโหว่ที่ไม่ได้แพตช์จำนวนมาก แทนที่จะรับทราบปัญหาและแก้ไขปัญหา Cellebrite ได้ออกแถลงการณ์ว่า บริษัทใส่ใจในความสมบูรณ์ของข้อมูลผู้ใช้ รักษาความปลอดภัยของผลิตภัณฑ์ในระดับที่เหมาะสม เผยแพร่การอัปเดตเป็นประจำ และนำเสนอแอปพลิเคชันที่ดีที่สุดในประเภทเดียวกัน
- ความสำเร็จที่ยิ่งใหญ่ที่สุด รางวัลนี้มอบให้กับ Ilfak Gilfanov ผู้เขียน IDA disassembler และ Hex-Rays decompiler สำหรับผลงานของเขาในการพัฒนาเครื่องมือสำหรับนักวิจัยด้านความปลอดภัยและความสามารถของเขาในการปรับปรุงผลิตภัณฑ์ให้เป็นปัจจุบันเป็นเวลา 30 ปี
ที่มา: opennet.ru