ประกาศรายชื่อผู้ได้รับรางวัล Pwnie Awards ประจำปี 2021 ซึ่งเป็นเหตุการณ์ที่โดดเด่นซึ่งผู้เข้าร่วมได้เปิดเผยช่องโหว่ที่สำคัญที่สุดและข้อบกพร่องที่ไร้สาระในด้านความปลอดภัยของคอมพิวเตอร์
รางวัล Pwnie ตระหนักถึงความเป็นเลิศและความไร้ความสามารถในด้านความปลอดภัยของข้อมูล ผู้ชนะจะได้รับการคัดเลือกโดยคณะกรรมการผู้เชี่ยวชาญในอุตสาหกรรมความปลอดภัยตามการเสนอชื่อที่รวบรวมจากชุมชนความปลอดภัยของข้อมูล
รายชื่อผู้โชคดี
ช่องโหว่การยกระดับสิทธิ์ที่ดีขึ้น: รางวัลนี้ มอบให้กับบริษัท Qualys สำหรับการระบุช่องโหว่ CVE-2021-3156 ในยูทิลิตี้ sudoซึ่งช่วยให้คุณได้รับสิทธิ์รูท ช่องโหว่ดังกล่าวมีอยู่ในรหัสมาประมาณ 10 ปีแล้ว และมีความโดดเด่นจากความจริงที่ว่าการตรวจจับนั้นจำเป็นต้องมีการวิเคราะห์ตรรกะของยูทิลิตี้อย่างละเอียด
ข้อผิดพลาดของเซิร์ฟเวอร์ที่ดีที่สุด: มันเป็น ได้รับรางวัลสำหรับการระบุและใช้ประโยชน์จากจุดบกพร่องที่มีความซับซ้อนทางเทคนิคมากที่สุด และน่าสนใจในการให้บริการเครือข่าย ได้รับชัยชนะในการระบุตัวตน เวกเตอร์ใหม่ของการโจมตี Microsoft Exchange. ข้อมูลเกี่ยวกับช่องโหว่ทั้งหมดในคลาสนี้ยังไม่เปิดเผย แต่มีการเปิดเผยข้อมูลเกี่ยวกับช่องโหว่ CVE-2021-26855 (ProxyLogon) แล้ว ซึ่งอนุญาตให้คุณดึงข้อมูลจากผู้ใช้ตามอำเภอใจโดยไม่ต้องตรวจสอบสิทธิ์ และ CVE-2021-27065 ซึ่งอนุญาตให้คุณเรียกใช้รหัสของคุณบนเซิร์ฟเวอร์ที่มีสิทธิ์ของผู้ดูแลระบบ
การโจมตี crypto ที่ดีที่สุด: ได้รับ เพื่อระบุความล้มเหลวที่สำคัญที่สุดในระบบโปรโตคอลและอัลกอริธึมการเข้ารหัสที่แท้จริง รางวัล fเผยแพร่ไปยัง Microsoft สำหรับช่องโหว่ (CVE-2020-0601) ในการดำเนินการลายเซ็นดิจิทัลแบบโค้งรูปไข่ที่ช่วยให้สามารถสร้างคีย์ส่วนตัวตามคีย์สาธารณะได้ ปัญหานี้ทำให้สามารถสร้างใบรับรอง TLS ปลอมสำหรับ HTTPS และลายเซ็นดิจิทัลปลอม ซึ่ง Windows ได้ตรวจสอบแล้วว่าเชื่อถือได้
การวิจัยที่เป็นนวัตกรรมใหม่ที่สุด: รางวัล มอบให้กับนักวิจัยที่เสนอวิธี BlindSide เพื่อหลีกเลี่ยงความปลอดภัยของการสุ่มที่อยู่ (ASLR) โดยใช้การรั่วไหลของช่องสัญญาณด้านข้างซึ่งเป็นผลมาจากการดำเนินการตามคำสั่งที่คาดเดาโดยโปรเซสเซอร์
ข้อผิดพลาด Epic FAIL ส่วนใหญ่: มอบให้กับ Microsoft สำหรับโปรแกรมแก้ไขหลายตัวที่ไม่ทำงาน สำหรับช่องโหว่ PrintNightmare (CVE-2021-34527) ในระบบพิมพ์งาน Windows ที่อนุญาตให้โค้ดของคุณทำงาน Microsoft ในขั้นต้น ตั้งค่าสถานะปัญหาว่าเป็นปัญหาในพื้นที่ แต่ต่อมาปรากฏว่าการโจมตีสามารถทำได้จากระยะไกล จากนั้น Microsoft ก็ออกอัปเดตสี่ครั้ง แต่ทุกครั้งที่โซลูชันครอบคลุมกรณีพิเศษเพียงกรณีเดียว และนักวิจัยได้ค้นพบวิธีใหม่ในการโจมตี
ข้อบกพร่องที่ดีที่สุดในซอฟต์แวร์ไคลเอ็นต์: รางวัลนั้นคือ มอบให้แก่นักวิจัยที่ค้นพบช่องโหว่ CVE-2020-28341 ในการเข้ารหัสที่ปลอดภัยของ Samsung ได้รับใบรับรองความปลอดภัย CC EAL 5+ ช่องโหว่ดังกล่าวทำให้สามารถข้ามการป้องกันได้อย่างสมบูรณ์และเข้าถึงโค้ดที่ทำงานบนชิปและข้อมูลที่เก็บไว้ในวงล้อม เลี่ยงการล็อกโปรแกรมรักษาหน้าจอ และทำการเปลี่ยนแปลงเฟิร์มแวร์เพื่อสร้างประตูหลังที่ซ่อนอยู่
จุดอ่อนที่ประเมินต่ำที่สุด: รางวัลที่ได้รับคือ มอบให้กับ Qualys เพื่อระบุช่องโหว่ 21Nails จำนวนหนึ่งในเซิร์ฟเวอร์อีเมล Exim ซึ่งสามารถใช้ประโยชน์ได้จากระยะไกล 10 รายการ นักพัฒนา Exim รู้สึกไม่มั่นใจเกี่ยวกับการใช้ประโยชน์จากปัญหาและใช้เวลามากกว่า 6 เดือนในการพัฒนาโซลูชัน
คำตอบที่อ่อนแอที่สุดจากผู้ผลิต: นี่คือการเสนอชื่อ สำหรับการตอบสนองที่ไม่เหมาะสมที่สุดต่อรายงานช่องโหว่ในผลิตภัณฑ์ของคุณเอง. ผู้ชนะคือ Cellebrite แอปพลิเคชันด้านนิติวิทยาศาสตร์และการทำเหมืองข้อมูลสำหรับการบังคับใช้กฎหมาย Cellebrite ไม่ตอบสนองต่อรายงานช่องโหว่ที่เผยแพร่โดย Moxie Marlinspike ผู้เขียนโปรโตคอล Signal อย่างเพียงพอ Moxie เริ่มสนใจ Cellebrite หลังจากโพสต์เรื่องราวสื่อเกี่ยวกับการสร้างเทคโนโลยีเพื่อทำลายข้อความ Signal ที่เข้ารหัสซึ่งต่อมากลายเป็นเท็จเนื่องจากการตีความข้อมูลในบทความบนเว็บไซต์ Cellebrite อย่างผิด ๆ ซึ่งถูกลบออกในภายหลัง ( "การโจมตี" ต้องการการเข้าถึงทางกายภาพของโทรศัพท์และความสามารถในการปลดล็อกหน้าจอนั่นคือลดลงเป็นการดูข้อความใน Messenger แต่ไม่ใช่ด้วยตนเอง แต่ใช้แอปพลิเคชันพิเศษที่จำลองการกระทำของผู้ใช้ )
Moxie ตรวจสอบแอปพลิเคชัน Cellebrite และพบช่องโหว่ที่สำคัญที่อนุญาตให้เรียกใช้โค้ดโดยอำเภอใจเมื่อพยายามสแกนข้อมูลที่สร้างขึ้นเป็นพิเศษ แอป Cellebrite ยังเปิดเผยข้อเท็จจริงด้วยว่าใช้ไลบรารี ffmpeg ที่ล้าสมัยซึ่งไม่ได้รับการอัปเดตมาเป็นเวลา 9 ปีแล้ว และมีช่องโหว่จำนวนมากที่ยังไม่ได้แพตช์ แทนที่จะรับทราบปัญหาและแก้ไข Cellebrite ได้ออกแถลงการณ์ว่าใส่ใจเกี่ยวกับความสมบูรณ์ของข้อมูลผู้ใช้ รักษาความปลอดภัยของผลิตภัณฑ์ในระดับที่เหมาะสม
ในที่สุด ความสำเร็จที่ยิ่งใหญ่ที่สุด - มอบให้กับ Ilfak Gilfanov ผู้เขียน IDA disassembler และ Hex-Rays decompilerเพื่อสนับสนุนการพัฒนาเครื่องมือสำหรับนักวิจัยด้านความปลอดภัยและความสามารถของเขาในการทำให้ผลิตภัณฑ์ทันสมัยอยู่เสมอเป็นเวลา 30 ปี
Fuente: https://pwnies.com