
Pwnie Awards 2023
A Black Hat USA 2023 konferencián amelyet néhány napja tartottak (augusztus 5. és augusztus 10. között a Mandalay Bay Kongresszusi Központban, Las Vegasban) ismertté vált az éves díjak nyerteseinek névsorának kihirdetése Pwnie Awards 2023
Azok számára, akik nincsenek tisztában a Pwnie-díjjal, tudniuk kell, hogy azés kiemelkedő esemény, amelyben a résztvevők feltárják a legjelentősebb sebezhetőségeket és abszurd kudarcokat a számítógépes biztonság területén.
A Pwnie Awards az információbiztonság területén a kiválóságot és a hozzá nem értést egyaránt elismeri. A nyerteseket egy biztonsági iparági szakemberekből álló bizottság választja ki az információbiztonsági közösségtől begyűjtött jelölések közül.
A díjakat évente adják át a Black Hat Biztonsági Konferencián és számítástechnikai biztonság terén az Oscar- és az Arany Málna-díj megfelelőjének számítanak.
Pwnie Awards 2023 nyerteseinek listája
A legjobb asztali sebezhetőség
A győztes a sebezhetőség volt CVE-2022 22036- a Teljesítményszámlálók mechanizmusban, amely lehetővé teszi a jogosultságok növelését a Windows rendszerben.
Jobb jogosultság-eszkalációs sebezhetőség.
A győztes a sebezhetőség volt USB Excalibur (CVE-2022-31705) a VMware ESXi, Workstation és Fusion virtualizációs termékekben használt USB-illesztőprogram megvalósításában. A sérülékenység lehetővé teszi a vendégrendszerből a gazdagép környezethez való hozzáférést és a kód futtatását a VMX folyamat jogaival.
A legjobb távoli végrehajtás sebezhetősége
A győztes a sebezhetőség volt (CVE-2023-20032) a ClamAV ingyenes víruskeresőben, amely lehetővé teszi a kódfuttatást speciálisan kialakított lemezképekkel HFS+ formátumban végzett fájlok vizsgálatakor (például e-mailben küldött e-mailekből kinyert fájlok vizsgálatakor). szerver).
A legnagyobb eredmény.
A díjat Clement Lecigne, a Google Threat Analysis Group munkatársa kapta a Chrome, iOS és Android támadására használt 33 0 napos sebezhetőség azonosításában végzett munkájáért.
A legjobb kriptotámadás.
A díjat annak a támadási módszernek ítélték oda, amely lehetővé teszi a titkosítási kulcsok értékeinek távolról történő visszaállítását a LED-jelző (ebből megosztunk itt egy bejegyzést a blogon). Ez lehetővé teszi az ECDSA és SIKE algoritmusokon alapuló titkosítási kulcsok helyreállítását egy olyan kamera videóelemzésével, amely rögzíti az intelligenskártya-olvasó LED-jelzőjét vagy egy USB-elosztóhoz csatlakoztatott eszközt egy okostelefonnal, amely műveleteket végez a hardverkulccsal.
A leginnovatívabb kutatás.
A győzelmet egy tanulmány nyerte, amely megmutatta annak lehetőségét, hogy az Apple Lightning csatlakozójával hozzáférjen az iPhone JTAG hibakereső felületéhez, és teljes irányítást szerezzen a készülék felett.
Ebben a kategóriában érdemes megemlíteni, hogy ők is jelöltek, a támadás Bukás az Intel CPU-khoz és Centauri, a Rowhammeren alapuló módszer egyedi ujjlenyomatok létrehozásához
Legalulértékeltebb kutatás
Ebben a kategóriában a Trendmicro egyik alkalmazottjának tanulmánya nyert, amely a Windows CSRSS biztonsági résének új osztályát azonosította, amely lehetővé teszi a jogosultságok kiterjesztését az aktiválási kontextus gyorsítótár-mérgezésén keresztül.
A legnagyobb kudarc (Most Epic FAIL).
A díjat a TSA (Közlekedésbiztonsági Igazgatóság) USA, amely nem korlátozta a hozzáférést az Elasticsearch nyilvánosan elérhető adattárához, amely többek között tartalmazott egy repülési listát.
A legtöbb nyalási reakció
A termék sérülékenységi jelentésére adott leginkább nem megfelelő válasz jelölése. A győzelmet a Threema szerezte meg, aki szeszélyesen reagált a vállalat "biztonságos" üzenetküldési protokolljának biztonsági elemzésére, és nem tartotta súlyosnak a megállapított kritikus problémákat.
Végül, ha többet szeretne megtudni róla, tájékozódhat a részletekről a következő dokumentum amelyben megosztják az egyes esetek részleteit.
Érdemes megemlíteni, hogy a hivatalos Pwnie Awards webhelyen a dokumentumban megosztott információk még nem frissültek, és már csak napok kérdése, hogy ugyanaz az információ megjelenjen. a weboldalon.