Pemenang Pwnie Awards 2021 telah pun diumumkan

Darkcrizt

Minit 4

Pemenang Pwnie Awards 2021 tahunan diumumkan, yang merupakan acara yang luar biasa, di mana para peserta mendedahkan kelemahan yang paling ketara dan kelemahan tidak masuk akal dalam bidang keselamatan komputer.

Anugerah Pwnie menyedari kecemerlangan dan ketidakcekapan dalam bidang keselamatan maklumat. Pemenang dipilih oleh jawatankuasa profesional industri keselamatan berdasarkan pencalonan yang dikumpulkan dari komuniti keselamatan maklumat.

Senarai pemenang

Kerentanan peningkatan hak istimewa yang lebih baik: Anugerah ini Diberikan kepada syarikat Qualys kerana mengenal pasti kerentanan CVE-2021-3156 dalam utiliti sudo, yang membolehkan anda memperoleh hak istimewa root. Kerentanan telah terdapat dalam kod selama sekitar 10 tahun dan terkenal kerana fakta bahawa pengesanannya memerlukan analisis menyeluruh mengenai logik utiliti.

Ralat pelayan terbaik: ini Dianugerahkan kerana mengenal pasti dan mengeksploitasi bug yang paling kompleks secara teknikal dan menarik dalam perkhidmatan rangkaian. Kemenangan diberikan kerana mengenal pasti vektor serangan baru terhadap Microsoft Exchange. Maklumat mengenai semua kerentanan dalam kelas ini belum dilepaskan, tetapi maklumat telah dilepaskan mengenai kerentanan CVE-2021-26855 (ProxyLogon), yang memungkinkan anda mengambil data dari pengguna sewenang-wenangnya tanpa pengesahan, dan CVE-2021-27065, yang membolehkan anda menjalankan kod anda pada pelayan dengan hak pentadbir.

Serangan crypto terbaik: diberikan kerana mengenal pasti kegagalan yang paling ketara dalam sistem, protokol dan algoritma penyulitan sebenar. Hadiah fIni dirilis ke Microsoft untuk kerentanan (CVE-2020-0601) dalam pelaksanaan tandatangan digital lengkung elips yang membolehkan penghasilan kunci persendirian berdasarkan kunci awam. Masalahnya memungkinkan pembuatan sijil TLS palsu untuk HTTPS dan tandatangan digital palsu, yang disahkan oleh Windows sebagai boleh dipercayai.

Penyelidikan paling inovatif: Anugerah tersebut diberikan kepada penyelidik yang mencadangkan kaedah BlindSide untuk mengelakkan keselamatan pengacakan alamat (ASLR) menggunakan kebocoran saluran sampingan yang disebabkan oleh pelaksanaan arahan spekulatif oleh pemproses.

Sebilangan besar kesalahan FAIL Epik: dianugerahkan kepada Microsoft kerana mengeluarkan banyak patch yang tidak berfungsi untuk kerentanan PrintNightmare (CVE-2021-34527) dalam sistem output cetak Windows yang membolehkan kod anda berjalan. Microsoft Pada mulanya ia menandakan masalah itu sebagai masalah lokal, tetapi kemudian ternyata serangan itu dapat dilakukan dari jarak jauh. Microsoft kemudian mengeluarkan kemas kini empat kali, tetapi setiap kali penyelesaiannya hanya merangkumi satu kes khas, dan para penyelidik menemui cara baru untuk melakukan serangan tersebut.

Bug terbaik dalam perisian pelanggan: anugerah itu diberikan kepada penyelidik yang menemui kerentanan CVE-2020-28341 dalam kriptografi selamat Samsung, menerima sijil keselamatan CC EAL 5+. Kerentanan itu memungkinkan untuk memintas perlindungan sepenuhnya dan mendapatkan akses ke kod yang berjalan pada cip dan data yang tersimpan di kantong, memintas kunci screen saver, dan juga membuat perubahan pada firmware untuk membuat pintu belakang tersembunyi.

Kerentanan yang paling rendah: anugerah itu dianugerahkan kepada Qualys untuk mengenal pasti sejumlah kelemahan 21Nails di pelayan mel Exim, 10 daripadanya dapat dieksploitasi dari jarak jauh. Pembangun Exim ragu-ragu untuk memanfaatkan masalah tersebut dan menghabiskan lebih dari 6 bulan untuk mengembangkan penyelesaian.

Jawapan paling lemah dari pengilang: ini adalah pencalonan untuk tindak balas yang paling tidak sesuai terhadap laporan kerentanan dalam produk anda sendiri. Pemenangnya ialah Cellebrite, aplikasi forensik dan perlombongan data untuk penguatkuasaan undang-undang. Cellebrite tidak memberikan respons yang cukup baik terhadap laporan kerentanan yang diterbitkan oleh Moxie Marlinspike, pengarang protokol Signal. Moxie menjadi tertarik dengan Cellebrite setelah menyiarkan berita media mengenai mencipta teknologi untuk memecahkan mesej Isyarat yang dienkripsi, yang kemudian ternyata salah, kerana salah tafsiran maklumat dalam artikel di laman web Cellebrite., Yang kemudian dihapus ( "Serangan" memerlukan akses fisik ke telepon dan kemampuan untuk membuka kunci layar, yaitu, itu hanya untuk melihat pesan di messenger, tetapi tidak secara manual, tetapi menggunakan aplikasi khusus yang mensimulasikan tindakan pengguna).

Moxie memeriksa aplikasi Cellebrite dan mendapati kelemahan kritikal yang membolehkan kod sewenang-wenang dijalankan ketika cuba mengimbas data yang dibuat khas. Aplikasi Cellebrite juga mengungkapkan fakta bahawa ia menggunakan perpustakaan ffmpeg yang sudah usang yang tidak dikemas kini selama 9 tahun dan mengandungi sebilangan besar kerentanan yang tidak dapat ditandingi. Daripada mengakui masalah dan memperbaikinya, Cellebrite mengeluarkan pernyataan bahawa ia mementingkan integriti data pengguna, menjaga keselamatan produknya pada tahap yang tepat.

Akhirnya Pencapaian Terbesar - Dianugerahkan kepada Ilfak Gilfanov, pengarang pembongkar IDA dan penyusun Hex-Rays, atas sumbangannya dalam pengembangan alat untuk penyelidik keselamatan dan kemampuannya untuk mengemas kini produk selama 30 tahun.

Fuente: https://pwnies.com


Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab atas data: Miguel Ángel Gatón
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.