2021 年度 Pwnie Awards 的獲獎者已經確定,突出了計算機安全領域最重大的漏洞和荒謬的失敗。 Pwnie 獎被認為等同於計算機安全領域的奧斯卡獎和金酸莓獎。
主要獲獎者(競爭者名單):
- 更好的特權升級漏洞。 Qualys 因識別 sudo 實用程序中的漏洞 CVE-2021-3156 而獲得了勝利,該漏洞允許獲得 root 權限。 該漏洞已在代碼中存在約 10 年,值得注意的是需要對實用程序的邏輯進行全面分析才能識別它。
- 最好的服務器錯誤。 因識別和利用網絡服務中技術上最複雜和最有趣的錯誤而獲獎。 此次勝利是因為確定了對 Microsoft Exchange 的新攻擊媒介。 並非所有此類漏洞的信息都已發布,但有關漏洞 CVE-2021-26855 (ProxyLogon) 和 CVE-2021-27065 的信息已經公開,CVE-XNUMX-XNUMX 允許在未經身份驗證的情況下從任意用戶提取數據可以在具有管理員權限的服務器上執行您的代碼。
- 最好的密碼攻擊。 因發現真實係統、協議和加密算法中最嚴重的缺陷而獲獎。 該獎項授予 Microsoft 在實施橢圓曲線數字簽名時的漏洞 (CVE-2020-0601),該簽名可以從公鑰生成私鑰。 該問題允許為 HTTPS 創建偽造的 TLS 證書和虛構的數字簽名,這些證書在 Windows 中被驗證為可信。
- 最具創新性的研究。 該獎項授予提出 BlindSide 方法的研究人員,該方法通過使用處理器推測執行指令所導致的側信道洩漏來繞過基於地址隨機化槓桿 (ASLR) 的保護。
- 最大的失敗(Most Epic FAIL)。 該獎項授予 Microsoft 針對 Windows 打印系統中的 PrintNightmare (CVE-2021-34527) 漏洞的多版本修復程序,該漏洞允許您執行代碼。 起初,微軟將問題標記為本地問題,但後來發現攻擊可以遠程進行。 隨後微軟發布了四次更新,但每次修復都只關閉了一個特例,研究人員找到了進行攻擊的新方法。
- 客戶端軟件中的最佳錯誤。 獲勝者是在獲得 CC EAL 2020+ 安全證書的安全三星加密處理器中發現 CVE-28341-5 漏洞的研究人員。 該漏洞可以完全繞過保護並獲得對芯片上執行的代碼和飛地中存儲的數據的訪問權限,繞過屏幕保護程序鎖,還可以更改固件以創建隱藏的後門。
- 最被低估的漏洞。 該獎項授予 Qualys,用於識別 Exim 郵件服務器中的一系列 21Nails 漏洞,其中 10 個漏洞可以被遠程利用。 Exim 開發人員對利用這些問題的可能性持懷疑態度,並花費了 6 個多月的時間來開發修復程序。
- 製造商最冷漠的反應(Lamest Vendor Response)。 提名對自己產品中的漏洞報告作出最不恰當的回應。 獲勝者是 Cellebrite,這是一家為執法部門構建取證分析和數據挖掘應用程序的公司。 Cellebrite 對 Signal 協議的作者 Moxie Marlinspike 發布的漏洞報告做出了不恰當的回應。 Moxxi 對 Cellebrite 產生了興趣,這是在一篇關於創建一種允許破解加密 Signal 消息的技術的媒體文章之後,由於 Cellebrite 網站上一篇文章中信息的誤解,該文章後來被證明是假的,然後被刪除(“攻擊”需要物理訪問手機和解鎖屏幕的能力,即減少到在 Messenger 中查看消息,但不是手動,而是使用模擬用戶操作的特殊應用程序)。
Moxxi 研究了 Cellebrite 應用程序並發現了其中的嚴重漏洞,這些漏洞允許在嘗試掃描專門設計的數據時執行任意代碼。 Cellebrite 應用程序還被發現使用了一個過時的 ffmpeg 庫,該庫已經 9 年沒有更新,並且包含大量未修補的漏洞。 Cellebrite 沒有承認問題並解決問題,而是發表了一份聲明,表示它關心用戶數據的完整性,將其產品的安全性維持在適當的水平,發布定期更新並提供同類最佳的應用程序。
- 最大的成就。 該獎項授予 IDA 反彙編器和 Hex-Rays 反編譯器的作者 Ilfak Gilfanov,以表彰他對安全研究人員工具開發的貢獻以及 30 年來保持產品更新的能力。
來源: opennet.ru