Vinnarna av de årliga Pwnie Awards 2021 tillkännagavs, vilket är en framträdande händelse där deltagarna avslöjar de viktigaste sårbarheterna och absurda bristerna inom datasäkerhetsområdet.
Pwnie Awards erkänna både spetskompetens och inkompetens inom informationssäkerhet. Vinnare väljs av en kommitté av säkerhetsbranschpersonal baserat på nomineringar samlade från informationssäkerhetsgemenskapen.
Vinnarlista
Bättre sårbarhet för eskalering av privilegier: Denna utmärkelse Tilldelas företaget Qualys för att identifiera sårbarheten CVE-2021-3156 i sudo-verktyget, som låter dig få root -privilegier. Sårbarheten har funnits i koden i cirka 10 år och är anmärkningsvärd för att detekteringen krävde en grundlig analys av verktygets logik.
Bästa serverfel: det är Tilldelas för att identifiera och utnyttja den mest tekniskt komplexa buggen och intressant i en nättjänst. Segern delades ut för identifiering en ny vektor av attacker mot Microsoft Exchange. Information om alla sårbarheter i denna klass har inte släppts, men information har redan släppts om sårbarheten CVE-2021-26855 (ProxyLogon), som gör att du kan hämta data från en godtycklig användare utan autentisering och CVE-2021-27065, som låter dig köra din kod på en server med administratörsrättigheter.
Bästa kryptoattack: beviljades för att identifiera de viktigaste misslyckandena i system, protokoll och verkliga krypteringsalgoritmer. Priset fDen släpptes till Microsoft för sårbarheten (CVE-2020-0601) vid implementering av elliptiska kurvor digitala signaturer som gör det möjligt att generera privata nycklar baserade på offentliga nycklar. Problemet gjorde det möjligt att skapa förfalskade TLS -certifikat för HTTPS och falska digitala signaturer, som Windows verifierade som pålitliga.
Mest innovativa forskning: Priset tilldelas forskare som föreslog BlindSide -metoden för att undvika säkerheten för adressrandomisering (ASLR) med hjälp av sidokanalläckor som är resultatet av processorns spekulativa utförande av instruktioner.
De flesta Epic FAIL -fel: tilldelas Microsoft för flera versioner av en patch som inte fungerar för PrintNightmare-sårbarheten (CVE-2021-34527) i Windows utskriftssystem som gör att din kod kan köras. Microsoft flaggade ursprungligen frågan som lokal, men senare visade det sig att attacken kunde utföras på distans. Microsoft släppte sedan uppdateringar fyra gånger, men varje gång täckte lösningen bara ett specialfall, och forskarna hittade ett nytt sätt att utföra attacken.
Bästa bugg i klientprogramvara: den utmärkelsen var tilldelas en forskare som upptäckte CVE-2020-28341-sårbarheten i Samsungs säkra kryptografi, fick säkerhetscertifikatet CC EAL 5+. Sårbarheten gjorde det möjligt att helt kringgå skyddet och få tillgång till koden som körs på chipet och data som lagras i enklaven, kringgå skärmsläckarlåset och även göra ändringar i firmware för att skapa en dold bakdörr.
Den mest underskattade sårbarheten: utmärkelsen var tilldelas Qualys för identifiering av ett antal 21Nails -sårbarheter i Exim -e -postservern, 10 av dem kan utnyttjas på distans. Exim -utvecklarna var skeptiska till att utnyttja frågorna och ägnade mer än 6 månader åt att utveckla lösningar.
Det svagaste svaret från tillverkaren: detta är en nominering för det mest olämpliga svaret på en sårbarhetsrapport i din egen produkt. Vinnaren var Cellebrite, en rättsmedicinsk och datagruppsansökan för brottsbekämpning. Cellebrite svarade inte tillräckligt på sårbarhetsrapporten som publicerades av Moxie Marlinspike, författaren till Signal -protokollet. Moxie blev intresserad av Cellebrite efter att ha publicerat en medieberättelse om att skapa en teknik för att bryta krypterade signalmeddelanden, som senare visade sig vara falska, på grund av en felaktig tolkning av informationen i artikeln på Cellebrite -webbplatsen., Som senare togs bort ( "attack" krävde fysisk åtkomst till telefonen och möjligheten att låsa upp skärmen, det vill säga att den reducerades till att visa meddelanden i budbäraren, men inte manuellt, utan med hjälp av en speciell applikation som simulerar användaråtgärder).
Moxie undersökte Cellebrite -applikationer och fann kritiska sårbarheter som gjorde det möjligt att exekvera godtycklig kod när han försökte skanna specialutformade data. Cellebrite -appen avslöjade också att använda ett föråldrat ffmpeg -bibliotek som inte har uppdaterats på 9 år och innehåller ett stort antal ouppdaterade sårbarheter. I stället för att erkänna problemen och åtgärda dem, utfärdade Cellebrite ett uttalande om att det bryr sig om användardatas integritet, håller säkerheten för sina produkter på rätt nivå.
Slutligen Största prestation - Tilldelas Ilfak Gilfanov, författare till IDA -demonterare och Hex -Rays -dekompilerare, för hans bidrag till utvecklingen av verktyg för säkerhetsforskare och hans förmåga att hålla produkten uppdaterad i 30 år.
Fuente: https://pwnies.com