美东时间 2021 年 8 月 4 日下午,PWNIE 大奖揭晓
美东当地时间 2021 年 8 月 4 日下午,美国黑帽大会(2020 届)年度 PWNIE 颁奖典礼在曼德勒湾英孚举行。为多个企业和个人颁发包括“反响最差的供应商”,“史诗级安全研究成就”,“最佳权限提升漏洞”等在内的共十个奖项,引发来自全球科技媒体的关注及报道。
从“最佳漏洞”到“史诗般失败”,获奖者来自各行各业
在这十大 PWNIE 奖项中,包含了九个漏洞奖项和一个与漏洞相关的颁奖典礼“最佳歌曲”奖。而获奖对象既有天才般的研究员如 Enes Goktas、Kaveh Razavi、Georgios Portokalidis,也有包括微软、NSA(美国国家安全局)在内的著名政府机构或企业,奖项涉猎范围广泛,获奖人员背景丰富多样。
InfoQ 选取了其中五个具有代表性 PWINE 奖项进行说明,其奖项名称,获奖者以及获奖缘由如下:
- 最佳漏洞奖 --Sudo 中基于堆的缓冲区溢出。该奖项授予了 Qualys,表彰其识别了 Sudo 实用程序中的 CVE-2021-3156 漏洞,该漏洞允许攻击者获得 root 权限。值得一提的是,该漏洞在代码中存在了大约 10 年,因为它无法被模糊化,并且要发现该漏洞需要了解系统如何与 sudo 交互,使其成为一个非常聪明的发现。
- 最佳服务器端错误 --Microsoft Exchange Server。该奖项授予了 DevCore 首席安全研究员 Orange Tsai,表彰其检测到 Microsoft Exchange 上的新向量攻击。这次研究共发现了 7 个漏洞,其中 CVE-2021-26855 (ProxyLogon) 和 CVE-2021-27065 漏洞数据已经发布,前者允许攻击者在未经身份验证的情况下提取任意用户的数据,后者使得攻击者能够以管理员权限在服务器上执行代码。
- 最佳密码攻击 --Windows Clients and Servers。该漏洞由 NSA(美国国家安全局)发现并披露。由于微软在基于椭圆曲线的数字签名技术方面的漏洞 (CVE-2020-0601),攻击者可以根据公钥生成私钥,进而允许攻击者为 HTTPS 和在 Windows 中验证为可信的虚构数字签名创建虚假 TLS 证书,破坏证书信任链。
- 最具创新性的研究 --Blind ROP(BROP)。该奖项授予 VUSec 团队成员 Enes Goktas、Kaveh Razavi、Georgios Portokalidis、Herbert Bos、Cristiano Giuffrida,他们提供盲侧方法绕过基于寻址地址 (ASLR) 的保护,同时利用对处理器指令的推测执行而造成第三方渠道泄漏。
- 史诗般的失败(Most Epic Fail)-- 打印机系统的噩梦。该奖项授予微软,表彰其多次发布的打印机代码执行漏洞 Printnightmare (CVE-2021-34527) 。在 Windows 的打印系统中,攻击者可以自由执行代码 -- 最初,微软将问题标记为本地问题,但后来发现攻击者还可以远程执行代码。于是微软为此发布更新,在前后多达四次的更新中,微软每次更新都只关闭了一个特例(总共有四个),这使得研究人员在每次更新后都能找到新的攻击方式,导致微软不得不继续进行下一次更新。
上述列举的奖项代表了一部分颁奖方向和当下的安全漏洞行业进展。不难看出,微软系统是漏洞重灾区,Linux 也有相关漏洞;这一方面凸显了微软的系统的受众面之广,另一方面也在给相关企业/社区不断敲响警钟--漏洞攻击防范非一朝一夕之功,只要有网络系统存在的地方,就有网络安全/系统安全的隐患,作为计算机技术行业的从业者,应该多多关注,为漏洞安全尽一份自己的力量。
“奥斯卡”与“金草莓”共存的黑客大奖
美国黑帽(Black Hat)大会的年度 PWNIE 奖旨在表彰过去 12 个月内对网络安全行业产生某种影响的安全研究人员、供应商和其他人(包括媒体机构)。奖项提名来自整个安全社区,由一个受人尊敬的安全研究人员组成的小组审查提名。
PWNIE 的奖项代表着社区成员的崇敬。一直以来,PWNIE 都是社区给有意义的实践者们颁发的行业级大奖,但同时也被用来谴责那些因安全故障而产生相反效果的人或者企业,例如上述的史诗般的失败(Most Epic Fail)大奖。也因此,PWINE 奖项被称为网络安全界的“奥斯卡”和“金草莓”奖。
2021 年,PWNIE 呼吁更多核安全相关的技术组织和研究人员来解决安全问题,推动他们在这一年中的对安全漏洞的正确利用和错误发现成为新闻,同时激励其在工作中为漏洞研究和攻击技术提供新的见解。该奖项持续关注安全领域的新发现,可能连续第二年表彰没有得到应有关注的研究。
参考链接:
https://pwnies.com/winners
https://www.altusintel.com/public-yy425x