연례 Pwnie Awards 2021의 우승자가 발표되었습니다. 참가자들이 컴퓨터 보안 분야에서 가장 중요한 취약점과 어리석은 결함을 드러내는 뛰어난 행사입니다.
Pwnie 어워드 그들은 정보 보안 분야의 탁월함과 무능함을 모두 인정합니다. 수상자는 정보 보안 커뮤니티에서 수집 한 지명을 기반으로 보안 업계 전문가위원회에서 선정합니다.
수상자 목록
더 나은 권한 상승 취약성: 이번 수상 Sudo 유틸리티에서 취약점 CVE-2021-3156을 식별하여 회사 Qualys에 수여, 루트 권한을 얻을 수 있습니다. 취약점은 약 10년 동안 코드에 존재했으며 탐지를 위해서는 유틸리티의 논리에 대한 철저한 분석이 필요했습니다.
최고의 서버 오류: 그것은이다 기술적으로 가장 복잡한 버그를 식별하고 활용한 공로로 수여 그리고 네트워크 서비스에서 흥미롭습니다. 식별하여 승리를 수여했습니다. Microsoft Exchange에 대한 새로운 공격 벡터. 이 클래스의 모든 취약점에 대한 정보는 공개되지 않았지만 인증 없이 임의의 사용자로부터 데이터를 검색할 수 있는 취약점 CVE-2021-26855(ProxyLogon) 및 CVE-2021-27065에 대한 정보가 이미 공개되었습니다. 이를 통해 관리자 권한이 있는 서버에서 코드를 실행할 수 있습니다.
최고의 암호화 공격: 부여되었다 시스템에서 가장 심각한 오류를 식별하기 위해, 프로토콜 및 실제 암호화 알고리즘. 상취약점(CVE-2020-0601)으로 인해 Microsoft에 릴리스되었습니다. 공개 키를 기반으로 개인 키 생성을 허용하는 타원 곡선 디지털 서명의 구현. 이 문제로 인해 Windows에서 신뢰할 수 있는 것으로 확인된 HTTPS 및 가짜 디지털 서명에 대한 위조 TLS 인증서 생성이 허용되었습니다.
가장 혁신적인 연구: 수상 BlindSide 방법을 제안한 연구원에게 수여 프로세서에 의한 명령어의 추측 실행으로 인해 발생하는 사이드 채널 누출을 사용하는 ASLR(주소 랜덤화)의 보안을 방지합니다.
대부분의 Epic FAIL 오류: 작동하지 않는 패치의 여러 릴리스에 대해 Microsoft에 수여됨 코드 실행을 허용하는 Windows 인쇄 출력 시스템의 PrintNightmare 취약점(CVE-2021-34527)에 대한 것입니다. 마이크로소프트 처음에는 문제를 로컬로 표시했지만 나중에 공격이 원격으로 수행될 수 있음이 밝혀졌습니다. 그런 다음 Microsoft는 업데이트를 네 번 발표했지만 솔루션이 매번 하나의 특별한 경우만 다루었고 연구원들은 공격을 수행하는 새로운 방법을 찾았습니다.
클라이언트 소프트웨어의 최고의 버그: 그 상은 삼성의 보안 암호화에서 CVE-2020-28341 취약점을 발견한 연구원에게 수여되며, CC EAL 5+ 안전 인증을 받았습니다. 이 취약점으로 인해 보호를 완전히 우회하고 칩에서 실행되는 코드와 엔클레이브에 저장된 데이터에 액세스할 수 있으며 화면 보호기 잠금을 우회하고 펌웨어를 변경하여 숨겨진 백도어를 생성할 수 있습니다.
가장 과소평가된 취약점: 상은 Exim 메일 서버에서 다수의 21Nails 취약점을 식별한 공로로 Qualys에 수여 그 중 10개는 원격으로 악용될 수 있습니다. Exim 개발자들은 문제를 악용하는 것에 대해 회의적이었고 솔루션을 개발하는 데 6개월 이상을 보냈습니다.
제조업체의 가장 약한 답변: 이것은 지명이다 자체 제품의 취약점 보고서에 대한 가장 부적절한 대응. 승자는 법 집행을 위한 포렌식 및 데이터 마이닝 애플리케이션인 Cellebrite였습니다. Cellebrite는 Signal 프로토콜의 작성자인 Moxie Marlinspike가 게시한 취약점 보고서에 적절하게 대응하지 않았습니다. Moxie는 암호화된 Signal 메시지를 해독하는 기술을 만드는 방법에 대한 미디어 기사를 게시한 후 Cellebrite에 관심을 갖게 되었습니다. 이 기술은 나중에 Cellebrite 웹사이트의 기사에 있는 정보의 잘못된 해석으로 인해 잘못된 것으로 밝혀졌습니다. "공격"에는 전화에 대한 물리적 액세스와 화면 잠금 해제 기능이 필요했습니다. 즉, 메신저에서 메시지를 보는 것으로 축소되었지만 수동으로가 아니라 사용자 작업을 시뮬레이션하는 특수 응용 프로그램을 사용했습니다).
Moxie는 Cellebrite 응용 프로그램을 검사하고 특수하게 조작된 데이터를 스캔하려고 할 때 임의 코드가 실행되도록 허용하는 치명적인 취약점을 발견했습니다. 또한 Cellebrite 앱은 9년 동안 업데이트되지 않은 오래된 ffmpeg 라이브러리를 사용하고 있으며 패치되지 않은 많은 취약점을 포함하고 있는 것으로 나타났습니다. 셀레브라이트는 문제를 인정하고 수정하는 대신 사용자 데이터의 무결성을 중요하게 생각하고 제품의 보안을 적절한 수준으로 유지한다는 성명을 발표했습니다.
최종적으로 최고의 업적 - IDA 디스어셈블러 및 Hex-Rays 디컴파일러의 저자인 Ilfak Gilfanov에게 수여, 보안 연구원을 위한 도구 개발에 대한 공헌과 30년 동안 제품을 최신 상태로 유지하는 능력.
출처 : https://pwnies.com