AI实践哪家强?来 AICon, 解锁技术前沿,探寻产业新机! 了解详情
写点什么

安全界的“奥斯卡”奖揭晓,微软系统漏洞被列为“史诗般的失败”

  • 2021-08-17
  • 本文字数:1727 字

    阅读完需:约 6 分钟

安全界的“奥斯卡”奖揭晓,微软系统漏洞被列为“史诗般的失败”

美东时间 2021 年 8 月 4 日下午,PWNIE 大奖揭晓


美东当地时间 2021 年 8 月 4 日下午,美国黑帽大会(2020 届)年度 PWNIE 颁奖典礼在曼德勒湾英孚举行。为多个企业和个人颁发包括“反响最差的供应商”,“史诗级安全研究成就”,“最佳权限提升漏洞”等在内的共十个奖项,引发来自全球科技媒体的关注及报道。


从“最佳漏洞”到“史诗般失败”,获奖者来自各行各业


在这十大 PWNIE 奖项中,包含了九个漏洞奖项和一个与漏洞相关的颁奖典礼“最佳歌曲”奖。而获奖对象既有天才般的研究员如 Enes Goktas、Kaveh Razavi、Georgios Portokalidis,也有包括微软、NSA(美国国家安全局)在内的著名政府机构或企业,奖项涉猎范围广泛,获奖人员背景丰富多样。


InfoQ 选取了其中五个具有代表性 PWINE 奖项进行说明,其奖项名称,获奖者以及获奖缘由如下:


  • 最佳漏洞奖 --Sudo 中基于堆的缓冲区溢出。该奖项授予了 Qualys,表彰其识别了 Sudo 实用程序中的 CVE-2021-3156 漏洞,该漏洞允许攻击者获得 root 权限。值得一提的是,该漏洞在代码中存在了大约 10 年,因为它无法被模糊化,并且要发现该漏洞需要了解系统如何与 sudo 交互,使其成为一个非常聪明的发现。


  • 最佳服务器端错误 --Microsoft Exchange Server。该奖项授予了 DevCore 首席安全研究员 Orange Tsai,表彰其检测到 Microsoft Exchange 上的新向量攻击。这次研究共发现了 7 个漏洞,其中 CVE-2021-26855 (ProxyLogon) 和 CVE-2021-27065 漏洞数据已经发布,前者允许攻击者在未经身份验证的情况下提取任意用户的数据,后者使得攻击者能够以管理员权限在服务器上执行代码。


  • 最佳密码攻击 --Windows Clients and Servers。该漏洞由 NSA(美国国家安全局)发现并披露。由于微软在基于椭圆曲线的数字签名技术方面的漏洞 (CVE-2020-0601),攻击者可以根据公钥生成私钥,进而允许攻击者为 HTTPS 和在 Windows 中验证为可信的虚构数字签名创建虚假 TLS 证书,破坏证书信任链。


  • 最具创新性的研究 --Blind ROP(BROP)。该奖项授予 VUSec 团队成员 Enes Goktas、Kaveh Razavi、Georgios Portokalidis、Herbert Bos、Cristiano Giuffrida,他们提供盲侧方法绕过基于寻址地址 (ASLR) 的保护,同时利用对处理器指令的推测执行而造成第三方渠道泄漏。


  • 史诗般的失败(Most Epic Fail)-- 打印机系统的噩梦。该奖项授予微软,表彰其多次发布的打印机代码执行漏洞 Printnightmare (CVE-2021-34527) 。在 Windows 的打印系统中,攻击者可以自由执行代码 -- 最初,微软将问题标记为本地问题,但后来发现攻击者还可以远程执行代码。于是微软为此发布更新,在前后多达四次的更新中,微软每次更新都只关闭了一个特例(总共有四个),这使得研究人员在每次更新后都能找到新的攻击方式,导致微软不得不继续进行下一次更新。


上述列举的奖项代表了一部分颁奖方向和当下的安全漏洞行业进展。不难看出,微软系统是漏洞重灾区,Linux 也有相关漏洞;这一方面凸显了微软的系统的受众面之广,另一方面也在给相关企业/社区不断敲响警钟--漏洞攻击防范非一朝一夕之功,只要有网络系统存在的地方,就有网络安全/系统安全的隐患,作为计算机技术行业的从业者,应该多多关注,为漏洞安全尽一份自己的力量。


“奥斯卡”与“金草莓”共存的黑客大奖


美国黑帽(Black Hat)大会的年度 PWNIE 奖旨在表彰过去 12 个月内对网络安全行业产生某种影响的安全研究人员、供应商和其他人(包括媒体机构)。奖项提名来自整个安全社区,由一个受人尊敬的安全研究人员组成的小组审查提名。


PWNIE 的奖项代表着社区成员的崇敬。一直以来,PWNIE 都是社区给有意义的实践者们颁发的行业级大奖,但同时也被用来谴责那些因安全故障而产生相反效果的人或者企业,例如上述的史诗般的失败(Most Epic Fail)大奖。也因此,PWINE 奖项被称为网络安全界的“奥斯卡”和“金草莓”奖。


2021 年,PWNIE 呼吁更多核安全相关的技术组织和研究人员来解决安全问题,推动他们在这一年中的对安全漏洞的正确利用和错误发现成为新闻,同时激励其在工作中为漏洞研究和攻击技术提供新的见解。该奖项持续关注安全领域的新发现,可能连续第二年表彰没有得到应有关注的研究。


参考链接:


https://pwnies.com/winners

https://www.altusintel.com/public-yy425x

2021-08-17 16:1511394
用户头像

发布了 74 篇内容, 共 30.9 次阅读, 收获喜欢 83 次。

关注

评论

发布
暂无评论
发现更多内容

阿里云边缘云ENS再升级 产业数字化落地向何方?

阿里云Edge Plus

DeFi流动性挖矿系统开发资料(源码)

2021最新Android常用开源库总结,retrofit源码

android 程序员 移动开发

DeFi质押挖矿系统DAPP开发内容(源码)

android实战视频教程,高并发系统基础篇

android 程序员 移动开发

2021最值得加入的互联网公司有哪些,阿里三面

android 程序员 移动开发

2021最新中高级Android面试题目,2021必看

android 程序员 移动开发

android5.0下载,阿里Android研发岗二面

android 程序员 移动开发

2021年大厂程序员进阶宝典,真是经典中的经典

android 程序员 移动开发

2021年字节跳动+京东+美团面试总结,查漏补缺

android 程序员 移动开发

论文解读:ACL2021 NER | 基于模板的BART命名实体识别

华为云开发者联盟

nlp 模板 实体识别 BART命名 NER

androidframework开发教程,安卓面试题库

android 程序员 移动开发

714页PDF的鸿蒙学习笔记,Android开发必须会的技能

android 程序员 移动开发

这4个行业用进销存管理系统是肯定不会错的

低代码小观

企业 企业管理 系统 管理系统 进销存管理系统

androidstudio连接手机,四面阿里Android开发岗

android 程序员 移动开发

云图说|Git云上仓库哪家好?一张图了解华为云代码托管服务

华为云开发者联盟

代码 华为云 codehub 上云 代码云托管

Android大厂高级面试题灵魂100问,金九银十

android 程序员 移动开发

android实战的书籍,超通俗解析

android 程序员 移动开发

android嵌入式开发板系统盘,看完就能找到工作

android 程序员 移动开发

2021年大厂程序员进阶宝典,Android开发基础面试题

android 程序员 移动开发

2021年来看看Android的发展,程序员如何应对中年危机

android 程序员 移动开发

2021高级Android笔试总结,帮你解决95%以上的问题

android 程序员 移动开发

4面阿里拿到P7Offer,Android开发指南

android 程序员 移动开发

Android-Camera内存问题剖析,通用流行框架大全

android 程序员 移动开发

android学习心得,并发编程挑战

android 程序员 移动开发

2021年大厂程序员进阶宝典,flutter面试题

android 程序员 移动开发

揭开MySQL Volcano模型迭代器性能提升千倍的秘密

华为云开发者联盟

MySQL 数据库 华为云数据库 MySQL Volcano 模型迭代器

掘金万亿新IT服务大市场,联想智慧服务核心能力持续跃升

科技大数据

androidsdk下载安装,经验分享

android 程序员 移动开发

android基础知识总结,面试复盘

android 程序员 移动开发

Android屏幕适配很难嘛其实也就那么回事,含面试题+答案

android 程序员 移动开发

安全界的“奥斯卡”奖揭晓,微软系统漏洞被列为“史诗般的失败”_技术管理_施尧_InfoQ精选文章