Ang mga nagwagi sa taunang Pwnie Awards 2021 ay inihayag, na kung saan ay isang kilalang kaganapan, kung saan ibinunyag ng mga kalahok ang pinaka makabuluhang kahinaan at walang katotohanan na mga bahid sa larangan ng seguridad ng computer.
Ang Pwnie Awards kinikilala nila ang parehong kahusayan at kawalan ng kakayahan sa larangan ng seguridad ng impormasyon. Ang mga nanalo ay pinili ng isang komite ng mga propesyonal sa industriya ng seguridad mula sa mga nominasyon na natipon mula sa komunidad ng seguridad ng impormasyon.
Listahan ng mga nanalo
Mas mahusay na kahinaan sa pagdaragdag ng pribilehiyo: Ang gantimpala na ito Iginawad sa mga kolehiyo ng kumpanya para sa pagkilala sa kahinaan CVE-2021-3156 sa sudo utility, na nagbibigay-daan sa iyo upang makakuha ng mga pribilehiyo ng ugat. Ang kahinaan ay naroroon sa code nang halos 10 taon at kapansin-pansin para sa katotohanan na ang pagtuklas nito ay nangangailangan ng masusing pagsusuri ng lohika ng utility.
Pinakamahusay na error sa server: ito Ginawaran para sa pagkilala at pagsasamantala sa pinaka-teknikal na bug at kawili-wili sa isang serbisyo sa network. Ang tagumpay ay iginawad para sa pagkilala isang bagong vector ng pag-atake laban sa Microsoft Exchange. Ang impormasyon sa lahat ng mga kahinaan sa klase na ito ay hindi pa nailabas, ngunit ang impormasyon ay naipalabas na tungkol sa kahinaan CVE-2021-26855 (ProxyLogon), na nagbibigay-daan sa iyo upang makuha ang data mula sa isang di-makatwirang gumagamit nang walang pagpapatotoo, at CVE-2021-27065, na nagbibigay-daan sa iyo upang patakbuhin ang iyong code sa isang server na may mga karapatan sa administrator.
Pinakamahusay na pag-atake ng crypto: ay ipinagkaloob para sa pagkilala sa mga pinaka makabuluhang pagkabigo sa mga system, mga protocol at totoong mga algorithm ng pag-encrypt. Ang premyo fIto ay inilabas sa Microsoft para sa kahinaan (CVE-2020-0601) sa pagpapatupad ng mga elliptic curve digital na lagda na nagpapahintulot sa pagbuo ng mga pribadong key batay sa mga pampublikong key. Pinayagan ng isyu ang paglikha ng mga huwad na sertipiko ng TLS para sa HTTPS at pekeng mga digital na lagda, na na-verify ng Windows bilang mapagkakatiwalaan.
Pinaka-makabagong pananaliksik: Ang gantimpala iginawad sa mga mananaliksik na nagpanukala ng pamamaraang BlindSide upang maiwasan ang seguridad ng address randomization (ASLR) gamit ang mga paglabas ng channel sa gilid na resulta mula sa haka-haka na pagpapatupad ng mga tagubilin ng processor.
Karamihan sa mga Epic FAIL error: iginawad sa Microsoft para sa isang maramihang pagpapalabas ng isang patch na hindi gumagana para sa kahinaan sa PrintNightmare (CVE-2021-34527) sa system ng output na naka-print sa Windows na nagpapahintulot sa iyong code na tumakbo. Microsoft Una nitong na-flag ang isyu bilang lokal, ngunit kalaunan ay naka-out na ang atake ay maaaring maisagawa nang malayuan. Pagkatapos ay naglabas ang Microsoft ng mga pag-update ng apat na beses, ngunit sa tuwing ang solusyon ay sakop lamang ng isang espesyal na kaso, at ang mga mananaliksik ay nakakita ng isang bagong paraan upang maisagawa ang pag-atake.
Pinakamahusay na bug sa software ng client: ang parangal na iyon ay iginawad sa isang mananaliksik na natuklasan ang CVE-2020-28341 kahinaan sa ligtas na cryptography ng Samsung, natanggap ang CC EAL 5+ safety certificate. Ginawang posible ang kahinaan na ganap na i-bypass ang proteksyon at makakuha ng access sa code na tumatakbo sa maliit na tilad at data na nakaimbak sa enclave, i-bypass ang lock ng screen saver, at gumawa din ng mga pagbabago sa firmware upang lumikha ng isang nakatagong pintuan sa likod.
Ang pinaka-minamaliit na kahinaan: ang gantimpala ay iginawad sa Qualys para sa pagkilala ng isang bilang ng 21Nails kahinaan sa Exim mail server, 10 dito ay maaaring pagsamantalahan mula sa malayuan. Ang mga nag-develop ng eksim ay nagdududa tungkol sa pagsasamantala sa mga isyu at gumugol ng higit sa 6 na buwan sa pagbuo ng mga solusyon.
Ang pinakamahina na sagot mula sa tagagawa. ito ay isang nominasyon para sa pinaka hindi naaangkop na tugon sa isang ulat ng kahinaan sa iyong sariling produkto. Ang nagwagi ay Cellebrite, isang forensic at aplikasyon ng pagmimina ng data para sa pagpapatupad ng batas. Ang Cellebrite ay hindi tumugon nang sapat sa ulat ng kahinaan na nai-publish ni Moxie Marlinspike, ang may-akda ng Signal protocol. Naging interesado si Moxie sa Cellebrite matapos mag-post ng isang kwento sa media tungkol sa paglikha ng isang teknolohiya upang masira ang naka-encrypt na mga mensahe ng Signal, na kalaunan ay naging mali, dahil sa maling interpretasyon ng impormasyon sa artikulo sa website ng Cellebrite., Na kalaunan ay tinanggal (ang Ang "pag-atake" ay nangangailangan ng pisikal na pag-access sa telepono at ang kakayahang i-unlock ang screen, iyon ay, nabawasan ito sa pagtingin ng mga mensahe sa messenger, ngunit hindi manu-mano, ngunit gumagamit ng isang espesyal na application na tumutulad sa mga pagkilos ng gumagamit).
Sinuri ni Moxie ang mga aplikasyon ng Cellebrite at natagpuan ang mga kritikal na kahinaan na pinapayagan na maisagawa ang di-makatwirang code kapag sinusubukang i-scan ang espesyal na ginawa na data. Ang Cellebrite app ay nagsiwalat din ng katotohanan na gumagamit ito ng isang hindi napapanahong library ng ffmpeg na hindi na-update sa loob ng 9 na taon at naglalaman ng isang malaking bilang ng hindi naipadala na mga kahinaan. Sa halip na kilalanin ang mga isyu at ayusin ang mga ito, nagpalabas ng isang pahayag si Cellebrite na nagmamalasakit ito tungkol sa integridad ng data ng gumagamit, pinapanatili ang seguridad ng mga produkto nito sa wastong antas.
Sa wakas Pinakamalaking Nakamit - iginawad kay Ilfak Gilfanov, may-akda ng IDA disassembler at Hex-Rays decompiler, para sa kanyang kontribusyon sa pagbuo ng mga tool para sa mga mananaliksik sa seguridad at ang kanyang kakayahang panatilihing napapanahon ang produkto sa loob ng 30 taon.
Fuente: https://pwnies.com