Anu meunang Pwnie Awards 2021 parantos diumumkeun

Pemenang Pwnie Awards 2021 taunan diumumkeun, anu mangrupikeun kajadian anu luar biasa, di mana pamilon ngungkabkeun kerentanan anu paling penting sareng cacat anu teu masuk akal dina bidang kaamanan komputer.

Pwnie Awards aranjeunna mikawanoh duanana kaunggulan sareng kamampuan dina bidang kaamanan inpormasi. Jawara dipilih ku panitia profesional industri kaamanan tina nominasi anu dikempelkeun ti komunitas kaamanan inpormasi.

Daptar juara

Kerentanan ningkatna hak istimewa hadé: Pangajén ieu Dileler ka perusahaan Qualys pikeun ngaidentipikasi kerentanan CVE-2021-3156 dina utilitas sudo, Anu ngamungkinkeun anjeun kéngingkeun hakiki root. Kerentanan parantos aya dina kode sakitar 10 taun sareng kasohor kanyataan yén deteksi na peryogi analisis anu lengkep ngeunaan logika alat éta.

Éror server anu pangsaéna: ieu Dilélér pikeun ngaidentipikasi sareng ngamangpaatkeun bug anu paling rumit sacara téknis sareng pikaresepeun dina jasa jaringan. Koswara dilélér pikeun ngaidéntifikasi vektor serangan anyar ngalawan Microsoft Exchange. Inpormasi ngeunaan sadaya kerentanan dina kelas ieu henteu acan dileupaskeun, tapi inpormasi parantos dileupaskeun ngeunaan kerentanan CVE-2021-26855 (ProxyLogon), anu ngamungkinkeun anjeun kéngingkeun data tina pangguna sawenang-wenang tanpa auténtikasi, sareng CVE-2021-27065, anu ngamungkinkeun anjeun ngajalankeun kode anjeun dina sérver anu ngagaduhan hak administrator.

Serangan crypto pangsaéna: dikabulkeun pikeun ngaidentipikasi kagagalan anu paling signifikan dina sistem, protokol sareng algoritma enkripsi nyata. Hadiah fIeu dileupaskeun ka Microsoft pikeun kerentanan (CVE-2020-0601) dina palaksanaan tanda tangan digital kurva elipsiptan anu ngamungkinkeun ngahasilkeun konci swasta dumasar kana konci publik. Masalahna ngamungkinkeun nyiptakeun sertipikat TLS palsu pikeun HTTPS sareng tanda tangan digital palsu, anu Windows diverifikasi sakumaha dipercaya.

Panilitian paling inovatif: Pangajén dileler ka panaliti anu ngusulkeun padika BlindSide pikeun nyingkahan kaamanan alamat acak (ASLR) ngagunakeun kabocoran saluran samping anu dihasilkeun tina éksekusi spekulatif paréntah ku prosésor.

Kasalahan Gagal Epik: dileler ka Microsoft pikeun ngaleupaskeun sababaraha patch anu henteu tiasa dianggo pikeun kerentanan PrintNightmare (CVE-2021-34527) dina sistem kaluaran cetak Windows anu ngamungkinkeun kode anjeun tiasa dijalankeun. Microsoft Mimitina ngabandungan masalah éta salaku lokal, tapi engké tétéla yén serangan éta tiasa dilakukeun ti jauh. Microsoft teras ngaluarkeun pembaruan opat kali, tapi unggal-unggal jalanna solusina ngan ukur nutupan hiji kasus khusus, sareng panaliti mendakan cara énggal pikeun ngalaksanakeun serangan.

Bug pangalusna dina software klien: penghargaan éta dileler ka panaliti anu mendakan kerentanan CVE-2020-28341 dina kriptografi aman Samsung, nampi sertipikat kaamanan CC EAL 5+. Kerentanan éta ngamungkinkeun pikeun ngalangkungan panyalindungan lengkep sareng aksés aksés kana kode anu dijalankeun dina chip sareng data anu disimpen dina enclave, jalan pintas konci layar saver, sareng ogé ngarobih firmware pikeun nyiptakeun panto tukang anu disumputkeun.

Kerentanan anu paling diremehkeun: penghargaan éta dileler ka Qualys pikeun idéntifikasi sajumlah kerentanan 21Nails dina server email Exim, 10 diantarana tiasa dieksploitasi tina jarak jauh. Pamekar Exim teu percanten ngeunaan ngamangpaatkeun masalah sareng nyéépkeun langkung ti 6 bulan ngembangkeun solusi.

Jawaban paling lemah ti pabrikna: ieu nominasi pikeun réspon anu paling henteu pantes pikeun laporan kerentanan dina produk anjeun nyalira. Anu meunang nyaéta Cellebrite, aplikasi forensik sareng data pikeun penegak hukum. Cellebrite henteu némbalan cekap kana laporan kerentanan anu diterbitkeun ku Moxie Marlinspike, panulis protokol Signal. Moxie janten resep Cellebrite saatos ngeposkeun carita média ngeunaan nyiptakeun téknologi pikeun ngarobih pesen Signal énkripsi, anu engké tétéla palsu, kusabab salah tafsir tina inpormasi dina tulisan dina halaman wéb Cellebrite., Anu engké dihapus (éta "serangan" ngabutuhkeun aksés fisik kana telepon sareng kamampuan pikeun muka konci layar, nyaéta, éta dikirangan janten pesen ningali dina pangirim pesen, tapi sanés sacara manual, tapi nganggo aplikasi khusus anu ngirut tindakan pamaké).

Moxie nalungtik aplikasi Cellebrite sareng mendakan kerentanan kritis anu ngamungkinkeun kode wenang dilaksanakeun nalika nyobian nyeken data anu didamel khusus. Aplikasi Cellebrite ogé ngungkabkeun ngagunakeun pustaka ffmpeg luntur anu henteu acan diénggalan salami 9 taun sareng ngandung sajumlah ageung kerentanan anu henteu dikirim. Daripada ngaku masalahna sareng ngalereskeunana, Cellebrite ngaluarkeun pernyataan yén éta paduli ngeunaan integritas data pangguna, ngajaga kaamanan produkna dina tingkat anu saé.

tungtungna Prestasi Pangageungna - Dilélérkeun ka Ilfak Gilfanov, panulis IDA disassembler sareng Hex-Rays decompiler, pikeun kontribusina pikeun ngembangkeun pakakas pikeun panaliti kaamanan sareng kamampuanna pikeun ngajaga produk éta mutahir salami 30 taun.

sumber: https://pwnies.com


Eusi tulisan taat kana prinsip urang tina étika éditorial. Pikeun ngalaporkeun kasalahan klik di dieu.

Janten kahiji komen

Ninggalkeun koméntar anjeun

email alamat anjeun moal diterbitkeun. Widang diperlukeun téh ditandaan ku *

*

*

  1. Jawab data: Miguel Ángel Gatón
  2. Tujuan tina data: Kontrol SPAM, manajemén koméntar.
  3. Legitimasi: idin anjeun
  4. Komunikasi data: Data moal dikomunikasikan ka pihak katilu kacuali ku kawajiban hukum.
  5. Panyimpenan data: Basis data anu diayakeun ku Occentus Networks (EU)
  6. Hak: Iraha waé anjeun tiasa ngawatesan, cageur sareng mupus inpormasi anjeun.