برندگان جوایز Pwnie Awards 2021 قبلاً اعلام شده اند

برندگان جوایز سالانه Pwnie 2021 معرفی شدند که یک رویداد برجسته است ، که در آن شرکت کنندگان مهمترین آسیب پذیری ها و نقایص پوچ در زمینه امنیت رایانه را نشان می دهند.

جوایز Pwnie آنها هر دو برتری و ناتوانی در زمینه امنیت اطلاعات را تشخیص می دهند. برندگان توسط کمیته ای از متخصصان صنعت امنیت بر اساس نامزدی های جمع آوری شده از انجمن امنیت اطلاعات انتخاب می شوند.

لیست برندگان

آسیب پذیری تشدید مزایای بهتر: این جایزه به شرکت Qualys برای شناسایی آسیب پذیری CVE-2021-3156 در ابزار sudo اعطا می شود، که به شما امکان می دهد امتیازات root را بدست آورید. این آسیب پذیری حدود 10 سال است که در کد وجود دارد و به این دلیل قابل توجه است که تشخیص آن نیاز به تجزیه و تحلیل کامل منطق ابزار دارد.

بهترین خطای سرور: این جایزه برای شناسایی و بهره برداری از پیچیده ترین اشکال فنی و در سرویس شبکه جالب است. پیروزی برای شناسایی اهدا شد بردار جدیدی از حملات علیه Microsoft Exchange. اطلاعات مربوط به همه آسیب پذیری های این کلاس منتشر نشده است ، اما قبلاً اطلاعاتی درباره آسیب پذیری CVE-2021-26855 (ProxyLogon) منتشر شده است که به شما امکان می دهد داده ها را از یک کاربر دلخواه بدون احراز هویت بازیابی کنید و CVE-2021-27065 ، که به شما اجازه می دهد کد خود را روی سروری با حقوق سرپرست اجرا کنید.

بهترین حمله رمزنگاری: اعطا شد برای شناسایی مهمترین خرابی ها در سیستم ها، پروتکل ها و الگوریتم های رمزگذاری واقعی. جایزه fبرای آسیب پذیری به Microsoft عرضه شد (CVE-2020-0601) در پیاده سازی امضای دیجیتالی منحنی بیضوی که امکان تولید کلیدهای خصوصی را بر اساس کلیدهای عمومی فراهم می کند. این مسئله اجازه ایجاد گواهینامه های جعلی TLS برای HTTPS و امضای دیجیتالی جعلی را داد که ویندوز آنها را قابل اعتماد تایید کرد.

ابتکاری ترین تحقیقات: جایزه به محققانی که روش BlindSide را پیشنهاد کرده اند اهدا می شود برای جلوگیری از امنیت تصادفی سازی آدرس (ASLR) با استفاده از نشت کانال های جانبی که ناشی از اجرای احتمالی دستورالعمل ها توسط پردازنده است.

بیشترین خطاهای حماسی FAIL: برای انتشار چندین وصله که کار نمی کند ، به مایکروسافت تعلق می گیرد برای آسیب پذیری PrintNightmare (CVE-2021-34527) در سیستم خروجی چاپ ویندوز که به کد شما اجازه اجرا می دهد. مایکروسافت در ابتدا این موضوع را موضعی نشان داد ، اما بعداً مشخص شد که این حمله می تواند از راه دور انجام شود. سپس مایکروسافت چهار بار به روز رسانی کرد ، اما هر بار راه حل فقط یک مورد خاص را پوشش می دهد و محققان روش جدیدی برای انجام این حمله پیدا کردند.

بهترین اشکال در نرم افزار سرویس گیرنده: آن جایزه بود به یک محقق که آسیب پذیری CVE-2020-28341 را در رمزنگاری امن سامسونگ کشف کرده است ، اهدا می شود ، گواهی ایمنی CC EAL 5+ را دریافت کرد. این آسیب پذیری امکان دور زدن کامل حفاظت و دسترسی به کد در حال اجرا بر روی تراشه و داده های ذخیره شده در محوطه ، دور زدن قفل محافظ صفحه نمایش و همچنین ایجاد تغییرات در سیستم عامل را برای ایجاد در پشتی مخفی فراهم کرد.

دست کم گرفته شده ترین آسیب پذیری: جایزه بود به Qualys برای شناسایی تعدادی از آسیب پذیری های 21Nails در سرور ایمیل Exim اعطا شد ، 10 مورد از آنها می تواند از راه دور مورد بهره برداری قرار گیرد. توسعه دهندگان Exim در مورد سوء استفاده از این مسائل تردید داشتند و بیش از 6 ماه صرف توسعه راه حل ها کردند.

ضعیف ترین پاسخ سازنده: این یک نامزدی است برای نامناسب ترین پاسخ به گزارش آسیب پذیری در محصول خود. برنده Cellebrite ، یک برنامه پزشکی قانونی و داده کاوی برای اجرای قانون بود. Cellebrite به گزارش آسیب پذیری منتشر شده توسط Moxie Marlinspike ، نویسنده پروتکل Signal ، پاسخ کافی نداد. Moxie پس از ارسال یک داستان رسانه ای در مورد ایجاد فناوری برای شکستن پیام های رمزگذاری شده سیگنال ، که بعداً به دلیل نادرست بودن اطلاعات در مقاله در وب سایت Cellebrite ، نادرست بود ، به Cellebrite علاقه مند شد ، که بعداً حذف شد ( "حمله" مستلزم دسترسی فیزیکی به تلفن و امکان باز کردن قفل صفحه بود ، یعنی به مشاهده پیامها در پیام رسان ، اما نه به صورت دستی ، بلکه با استفاده از یک برنامه ویژه که اقدامات کاربر را شبیه سازی می کند ، محدود شد.

Moxie برنامه های Cellebrite را بررسی کرد و آسیب پذیری های مهمی را پیدا کرد که اجازه می داد هنگام دلخواه برای اسکن داده های ساخته شده ، کد دلخواه اجرا شود. برنامه Cellebrite همچنین این واقعیت را آشکار کرد که از یک کتابخانه قدیمی ffmpeg استفاده می کند که 9 سال است به روز نشده است و شامل تعداد زیادی آسیب پذیری وصله نشده است. Cellebrite به جای تصدیق مشکلات و رفع آنها ، بیانیه ای صادر کرد که به تمامیت داده های کاربران اهمیت می دهد و امنیت محصولات خود را در سطح مناسب حفظ می کند.

سرانجام بزرگترین دستاورد - به ایلفک گیلفانوف ، نویسنده دستگاه IDA disassembler و Hex -Rays decompiler اهدا شد، به دلیل سهم خود در توسعه ابزارهای محققان امنیتی و توانایی او در به روز نگه داشتن محصول به مدت 30 سال.

Fuente: https://pwnies.com


محتوای مقاله به اصول ما پیوست اخلاق تحریریه. برای گزارش یک خطا کلیک کنید اینجا.

اولین کسی باشید که نظر

نظر خود را بگذارید

نشانی ایمیل شما منتشر نخواهد شد.

*

*

  1. مسئول داده ها: میگل آنخل گاتون
  2. هدف از داده ها: کنترل هرزنامه ، مدیریت نظرات.
  3. مشروعیت: رضایت شما
  4. ارتباط داده ها: داده ها به اشخاص ثالث منتقل نمی شوند مگر با تعهد قانونی.
  5. ذخیره سازی داده ها: پایگاه داده به میزبانی شبکه های Occentus (EU)
  6. حقوق: در هر زمان می توانید اطلاعات خود را محدود ، بازیابی و حذف کنید.

bool (درست)