Pemenang Pwnie Awards tahunan 2021 diumumkan, yang merupakan peristiwa penting, di mana peserta mengungkapkan kerentanan paling signifikan dan kekurangan yang tidak masuk akal di bidang keamanan komputer.
Penghargaan Pwnie mereka mengakui keunggulan dan ketidakmampuan dalam bidang keamanan informasi. Pemenang dipilih oleh komite profesional industri keamanan dari nominasi yang dikumpulkan dari komunitas keamanan informasi.
Daftar pemenang
Kerentanan eskalasi hak istimewa yang lebih baik: Penghargaan ini Diberikan kepada perusahaan Qualys karena mengidentifikasi kerentanan CVE-2021-3156 di utilitas sudo, yang memungkinkan Anda mendapatkan hak akses root. Kerentanan telah ada dalam kode selama sekitar 10 tahun dan terkenal karena deteksinya memerlukan analisis menyeluruh dari logika utilitas.
Kesalahan server terbaik: sekarang Diberikan untuk mengidentifikasi dan mengeksploitasi bug yang paling rumit secara teknis dan menarik dalam layanan jaringan. Kemenangan diberikan karena mengidentifikasi vektor serangan baru terhadap Microsoft Exchange. Informasi tentang semua kerentanan di kelas ini belum dirilis, tetapi informasi telah dirilis tentang kerentanan CVE-2021-26855 (ProxyLogon), yang memungkinkan Anda untuk mengambil data dari pengguna sewenang-wenang tanpa otentikasi, dan CVE-2021-27065, yang memungkinkan Anda menjalankan kode di server dengan hak administrator.
Serangan kripto terbaik: diberikan untuk mengidentifikasi kegagalan paling signifikan dalam sistem, protokol dan algoritma enkripsi nyata. HadiahnyaItu dirilis ke Microsoft untuk kerentanan (CVE-2020-0601) dalam implementasi tanda tangan digital kurva eliptik yang memungkinkan pembuatan kunci pribadi berdasarkan kunci publik. Masalah ini memungkinkan pembuatan sertifikat TLS palsu untuk HTTPS dan tanda tangan digital palsu, yang diverifikasi Windows sebagai dapat dipercaya.
Penelitian paling inovatif: Penghargaan diberikan kepada peneliti yang mengusulkan metode BlindSide untuk menghindari keamanan pengacakan alamat (ASLR) menggunakan kebocoran saluran samping yang dihasilkan dari eksekusi instruksi spekulatif oleh prosesor.
Kebanyakan kesalahan Epic FAIL: diberikan kepada Microsoft untuk beberapa rilis tambalan yang tidak berfungsi untuk kerentanan PrintNightmare (CVE-2021-34527) di sistem keluaran cetak Windows yang memungkinkan kode Anda dijalankan. Microsoft awalnya menandai masalah sebagai lokal, tetapi kemudian ternyata serangan itu dapat dilakukan dari jarak jauh. Microsoft kemudian merilis pembaruan empat kali, tetapi setiap kali solusinya hanya mencakup satu kasus khusus, dan para peneliti menemukan cara baru untuk melakukan serangan itu.
Bug terbaik dalam perangkat lunak klien: penghargaan itu adalah diberikan kepada peneliti yang menemukan kerentanan CVE-2020-28341 dalam kriptografi aman Samsung, menerima sertifikat keamanan CC EAL 5+. Kerentanan memungkinkan untuk sepenuhnya melewati perlindungan dan mendapatkan akses ke kode yang berjalan pada chip dan data yang disimpan di enklave, melewati kunci screen saver, dan juga membuat perubahan pada firmware untuk membuat pintu belakang tersembunyi.
Kerentanan yang paling diremehkan: penghargaannya adalah diberikan kepada Qualys untuk identifikasi sejumlah kerentanan 21Nails di server surat Exim, 10 di antaranya dapat dieksploitasi dari jarak jauh. Pengembang Exim skeptis tentang mengeksploitasi masalah dan menghabiskan lebih dari 6 bulan mengembangkan solusi.
Jawaban terlemah dari pabrikan: ini nominasinya untuk tanggapan yang paling tidak tepat terhadap laporan kerentanan dalam produk Anda sendiri. Pemenangnya adalah Cellebrite, aplikasi forensik dan data mining untuk penegakan hukum. Cellebrite tidak menanggapi secara memadai laporan kerentanan yang diterbitkan oleh Moxie Marlinspike, penulis protokol Signal. Moxie menjadi tertarik pada Cellebrite setelah memposting cerita media tentang menciptakan teknologi untuk memecahkan pesan Signal terenkripsi, yang kemudian ternyata palsu, karena salah tafsir informasi dalam artikel di situs web Cellebrite. , yang kemudian dihapus (the "menyerang" memerlukan akses fisik ke telepon dan kemampuan untuk membuka kunci layar, yaitu, dikurangi menjadi melihat pesan di messenger, tetapi tidak secara manual, tetapi menggunakan aplikasi khusus yang mensimulasikan tindakan pengguna ).
Moxie memeriksa aplikasi Cellebrite dan menemukan kerentanan kritis yang memungkinkan kode arbitrer dieksekusi ketika mencoba memindai data yang dibuat secara khusus. Aplikasi Cellebrite juga mengungkapkan menggunakan perpustakaan ffmpeg usang yang belum diperbarui selama 9 tahun dan berisi sejumlah besar kerentanan yang belum ditambal. Alih-alih mengakui masalah dan memperbaikinya, Cellebrite mengeluarkan pernyataan bahwa mereka peduli dengan integritas data pengguna, menjaga keamanan produknya pada tingkat yang tepat.
Akhirnya Prestasi Terbesar - Diberikan kepada Ilfak Gilfanov, penulis IDA disassembler dan Hex-Rays decompiler, atas kontribusinya pada pengembangan alat untuk peneliti keamanan dan kemampuannya untuk menjaga produk tetap mutakhir selama 30 tahun.
sumber: https://pwnies.com