2021 年度 Pwnie Awards 的获奖者已经确定,突出了计算机安全领域最重大的漏洞和荒谬的失败。 Pwnie 奖被认为等同于计算机安全领域的奥斯卡奖和金酸莓奖。
主要获奖者(竞争者名单):
- 更好的特权升级漏洞。 Qualys 因识别 sudo 实用程序中的漏洞 CVE-2021-3156 而获得了胜利,该漏洞允许获得 root 权限。 该漏洞已在代码中存在约 10 年,值得注意的是需要对实用程序的逻辑进行全面分析才能识别它。
- 最佳服务器错误。 因识别和利用网络服务中技术上最复杂和最有趣的错误而获奖。 此次胜利是因为确定了对 Microsoft Exchange 的新攻击媒介。 并非所有此类漏洞的信息都已发布,但有关漏洞 CVE-2021-26855 (ProxyLogon) 和 CVE-2021-27065 的信息已经公开,CVE-XNUMX-XNUMX 允许在未经身份验证的情况下从任意用户提取数据可以在具有管理员权限的服务器上执行您的代码。
- 最好的密码攻击。 因发现真实系统、协议和加密算法中最严重的缺陷而获奖。 该奖项授予 Microsoft 在实施椭圆曲线数字签名时的漏洞 (CVE-2020-0601),该签名可以从公钥生成私钥。 该问题允许为 HTTPS 创建伪造的 TLS 证书和虚构的数字签名,这些证书在 Windows 中被验证为可信。
- 最具创新性的研究。 该奖项授予提出 BlindSide 方法的研究人员,该方法通过使用处理器推测执行指令所导致的侧信道泄漏来绕过基于地址随机化杠杆 (ASLR) 的保护。
- 最大的失败(Most Epic FAIL)。 该奖项授予 Microsoft 针对 Windows 打印系统中的 PrintNightmare (CVE-2021-34527) 漏洞的多版本修复程序,该漏洞允许您执行代码。 起初,微软将问题标记为本地问题,但后来发现攻击可以远程进行。 随后微软发布了四次更新,但每次修复都只关闭了一个特例,研究人员找到了进行攻击的新方法。
- 客户端软件中的最佳错误。 获胜者是在获得 CC EAL 2020+ 安全证书的安全三星加密处理器中发现 CVE-28341-5 漏洞的研究人员。 该漏洞可以完全绕过保护并获得对芯片上执行的代码和飞地中存储的数据的访问权限,绕过屏幕保护程序锁,还可以更改固件以创建隐藏的后门。
- 最被低估的漏洞。 该奖项授予 Qualys,用于识别 Exim 邮件服务器中的一系列 21Nails 漏洞,其中 10 个漏洞可以被远程利用。 Exim 开发人员对利用这些问题的可能性持怀疑态度,并花费了 6 个多月的时间来开发修复程序。
- 制造商最冷漠的反应(Lamest Vendor Response)。 提名对自己产品中的漏洞报告作出最不恰当的回应。 获胜者是 Cellebrite,这是一家为执法部门构建取证分析和数据挖掘应用程序的公司。 Cellebrite 对 Signal 协议的作者 Moxie Marlinspike 发布的漏洞报告做出了不恰当的回应。 Moxxi 对 Cellebrite 产生了兴趣,这是在一篇关于创建一种允许破解加密 Signal 消息的技术的媒体文章之后,由于 Cellebrite 网站上一篇文章中信息的误解,该文章后来被证明是假的,然后被删除(“攻击”需要物理访问手机和解锁屏幕的能力,即减少到在 Messenger 中查看消息,但不是手动,而是使用模拟用户操作的特殊应用程序)。
Moxxi 研究了 Cellebrite 应用程序并发现了其中的严重漏洞,这些漏洞允许在尝试扫描专门设计的数据时执行任意代码。 Cellebrite 应用程序还被发现使用了一个过时的 ffmpeg 库,该库已经 9 年没有更新,并且包含大量未修补的漏洞。 Cellebrite 没有承认问题并解决问题,而是发表了一份声明,表示它关心用户数据的完整性,将其产品的安全性维持在适当的水平,发布定期更新并提供同类最佳的应用程序。
- 最大的成就。 该奖项授予 IDA 反汇编器和 Hex-Rays 反编译器的作者 Ilfak Gilfanov,以表彰他对安全研究人员工具开发的贡献以及 30 年来保持产品更新的能力。
来源: opennet.ru