Những người chiến thắng Giải thưởng Pwnie hàng năm 2021 đã được xác định, nêu bật những lỗ hổng nghiêm trọng nhất và những thất bại ngớ ngẩn trong lĩnh vực bảo mật máy tính. Giải thưởng Pwnie được coi là tương đương với giải Oscar và giải Mâm xôi vàng trong lĩnh vực bảo mật máy tính.
Những người chiến thắng chính (danh sách các ứng cử viên):
- Lỗ hổng leo thang đặc quyền tốt hơn. Chiến thắng đã được trao cho Qualys vì đã xác định được lỗ hổng CVE-2021-3156 trong tiện ích sudo, cho phép lấy quyền root. Lỗ hổng đã tồn tại trong mã khoảng 10 năm và đáng chú ý là cần phải phân tích kỹ lưỡng logic của tiện ích để xác định nó.
- Lỗi máy chủ tốt nhất. Được trao giải vì đã xác định và khai thác lỗi thú vị và phức tạp nhất về mặt kỹ thuật trong một dịch vụ mạng. Chiến thắng đã được trao cho việc xác định một phương thức tấn công mới vào Microsoft Exchange. Thông tin về không phải tất cả các lỗ hổng của lớp này đã được công bố, nhưng thông tin đã được tiết lộ về lỗ hổng CVE-2021-26855 (ProxyLogon), cho phép trích xuất dữ liệu từ một người dùng tùy ý mà không cần xác thực và CVE-2021-27065, khiến có thể thực thi mã của bạn trên máy chủ có quyền quản trị viên.
- Cuộc tấn công mật mã tốt nhất. Được trao giải vì đã xác định các lỗ hổng nghiêm trọng nhất trong các hệ thống, giao thức và thuật toán mã hóa thực. Giải thưởng đã được trao cho Microsoft vì lỗ hổng bảo mật (CVE-2020-0601) trong việc triển khai chữ ký số đường cong elip có thể tạo khóa riêng tư từ khóa chung. Sự cố cho phép tạo chứng chỉ TLS giả cho HTTPS và chữ ký số hư cấu, được xác minh trong Windows là đáng tin cậy.
- Nghiên cứu sáng tạo nhất. Giải thưởng được trao cho các nhà nghiên cứu đã đề xuất phương pháp BlindSide để bỏ qua bảo vệ dựa trên ngẫu nhiên hóa địa chỉ (ASLR) bằng cách sử dụng rò rỉ kênh bên do bộ xử lý thực hiện các hướng dẫn mang tính suy đoán.
- Thất bại lớn nhất (Most Epic FAIL). Giải thưởng đã được trao cho Microsoft cho bản sửa lỗi nhiều bản phát hành bị hỏng cho lỗ hổng PrintNightmare (CVE-2021-34527) trong hệ thống in Windows cho phép bạn thực thi mã của mình. Lúc đầu, Microsoft đánh dấu sự cố là cục bộ, nhưng sau đó hóa ra cuộc tấn công có thể được thực hiện từ xa. Sau đó, Microsoft đã xuất bản các bản cập nhật bốn lần, nhưng mỗi lần bản sửa lỗi chỉ đóng một trường hợp đặc biệt và các nhà nghiên cứu đã tìm ra một cách mới để thực hiện cuộc tấn công.
- Lỗi tốt nhất trong phần mềm máy khách. Người chiến thắng là nhà nghiên cứu đã xác định được lỗ hổng CVE-2020-28341 trong bộ xử lý tiền điện tử an toàn của Samsung đã nhận được chứng chỉ bảo mật CC EAL 5+. Lỗ hổng cho phép bỏ qua hoàn toàn lớp bảo vệ và giành quyền truy cập vào mã được thực thi trên chip và dữ liệu được lưu trữ trong vùng chứa, bỏ qua khóa trình bảo vệ màn hình và cũng thực hiện các thay đổi đối với phần sụn để tạo một cửa hậu ẩn.
- Lỗ hổng bị đánh giá thấp nhất. Giải thưởng được trao cho Qualys vì đã xác định một loạt lỗ hổng 21Nails trong máy chủ thư Exim, 10 lỗ hổng trong số đó có thể bị khai thác từ xa. Các nhà phát triển Exim đã hoài nghi về khả năng khai thác các vấn đề và đã dành hơn 6 tháng để phát triển các bản sửa lỗi.
- Phản ứng chậm chạp nhất của nhà sản xuất (Lamest Vendor Response). Đề cử cho phản hồi không phù hợp nhất đối với báo cáo lỗ hổng bảo mật trong sản phẩm của chính mình. Người chiến thắng là Cellebrite, một công ty xây dựng các ứng dụng phân tích pháp y và khai thác dữ liệu để thực thi pháp luật. Cellebrite đã phản hồi không phù hợp với một báo cáo lỗ hổng được đăng bởi Moxie Marlinspike, tác giả của giao thức Signal. Moxxi bắt đầu quan tâm đến Cellebrite sau một bài báo trên phương tiện truyền thông về việc tạo ra một công nghệ cho phép hack các tin nhắn Tín hiệu được mã hóa, sau đó hóa ra là tin giả do hiểu sai thông tin trong một bài báo trên trang web Cellebrite, sau đó đã bị xóa (“ cuộc tấn công” yêu cầu quyền truy cập vật lý vào điện thoại và khả năng mở khóa màn hình, tức là giảm khả năng xem tin nhắn trong trình nhắn tin, nhưng không phải theo cách thủ công mà sử dụng một ứng dụng đặc biệt mô phỏng hành động của người dùng).
Moxxi đã nghiên cứu các ứng dụng Cellebrite và tìm thấy các lỗ hổng nghiêm trọng ở đó cho phép thực thi mã tùy ý khi cố gắng quét dữ liệu được thiết kế đặc biệt. Ứng dụng Cellebrite cũng bị phát hiện đang sử dụng thư viện ffmpeg lỗi thời chưa được cập nhật trong 9 năm và chứa một số lượng lớn lỗ hổng chưa được vá. Thay vì thừa nhận sự cố và khắc phục sự cố, Cellebrite đã đưa ra tuyên bố rằng họ quan tâm đến tính toàn vẹn của dữ liệu người dùng, duy trì tính bảo mật của sản phẩm ở mức phù hợp, phát hành các bản cập nhật thường xuyên và cung cấp các ứng dụng tốt nhất thuộc loại này.
- Thành tích lớn nhất. Giải thưởng được trao cho Ifak Gilfanov, tác giả của trình dịch ngược IDA và dịch ngược Hex-Rays, vì những đóng góp của ông trong việc phát triển các công cụ cho các nhà nghiên cứu bảo mật và khả năng giữ cho sản phẩm được cập nhật trong 30 năm.
Nguồn: opennet.ru