Ők a Pwnie Awards 2023 nyertesei

Pwnie Awards 2023

Pwnie Awards 2023

A Black Hat USA 2023 konferencián amelyet néhány napja tartottak (augusztus 5. és augusztus 10. között a Mandalay Bay Kongresszusi Központban, Las Vegasban) ismertté vált az éves díjak nyerteseinek névsorának kihirdetése Pwnie Awards 2023

Azok számára, akik nincsenek tisztában a Pwnie-díjjal, tudniuk kell, hogy azés kiemelkedő esemény, amelyben a résztvevők feltárják a legjelentősebb sebezhetőségeket és abszurd kudarcokat a számítógépes biztonság területén.

A Pwnie Awards az információbiztonság területén a kiválóságot és a hozzá nem értést egyaránt elismeri. A nyerteseket egy biztonsági iparági szakemberekből álló bizottság választja ki az információbiztonsági közösségtől begyűjtött jelölések közül.

A díjakat évente adják át a Black Hat Biztonsági Konferencián és számítástechnikai biztonság terén az Oscar- és az Arany Málna-díj megfelelőjének számítanak.

Pwnie Awards 2023 nyerteseinek listája

A legjobb asztali sebezhetőség

A győztes a sebezhetőség volt CVE-2022 22036- a Teljesítményszámlálók mechanizmusban, amely lehetővé teszi a jogosultságok növelését a Windows rendszerben.

Jobb jogosultság-eszkalációs sebezhetőség.

A győztes a sebezhetőség volt USB Excalibur (CVE-2022-31705) a VMware ESXi, Workstation és Fusion virtualizációs termékekben használt USB-illesztőprogram megvalósításában. A sérülékenység lehetővé teszi a vendégrendszerből a gazdagép környezethez való hozzáférést és a kód futtatását a VMX folyamat jogaival.

A legjobb távoli végrehajtás sebezhetősége

A győztes a sebezhetőség volt (CVE-2023-20032) a ClamAV ingyenes víruskeresőben, amely lehetővé teszi a kódfuttatást speciálisan kialakított lemezképekkel HFS+ formátumban végzett fájlok vizsgálatakor (például e-mailben küldött e-mailekből kinyert fájlok vizsgálatakor). szerver).

A legnagyobb eredmény.

A díjat Clement Lecigne, a Google Threat Analysis Group munkatársa kapta a Chrome, iOS és Android támadására használt 33 0 napos sebezhetőség azonosításában végzett munkájáért.

A legjobb kriptotámadás.

A díjat annak a támadási módszernek ítélték oda, amely lehetővé teszi a titkosítási kulcsok értékeinek távolról történő visszaállítását a LED-jelző (ebből megosztunk itt egy bejegyzést a blogon). Ez lehetővé teszi az ECDSA és SIKE algoritmusokon alapuló titkosítási kulcsok helyreállítását egy olyan kamera videóelemzésével, amely rögzíti az intelligenskártya-olvasó LED-jelzőjét vagy egy USB-elosztóhoz csatlakoztatott eszközt egy okostelefonnal, amely műveleteket végez a hardverkulccsal.

támadás
Kapcsolódó cikk:
És így tudják feltörni a készüléked privát kulcsait a led villogása alapján 

A leginnovatívabb kutatás.

A győzelmet egy tanulmány nyerte, amely megmutatta annak lehetőségét, hogy az Apple Lightning csatlakozójával hozzáférjen az iPhone JTAG hibakereső felületéhez, és teljes irányítást szerezzen a készülék felett.

Ebben a kategóriában érdemes megemlíteni, hogy ők is jelöltek, a támadás Bukás az Intel CPU-khoz és Centauri, a Rowhammeren alapuló módszer egyedi ujjlenyomatok létrehozásához

Legalulértékeltebb kutatás

Ebben a kategóriában a Trendmicro egyik alkalmazottjának tanulmánya nyert, amely a Windows CSRSS biztonsági résének új osztályát azonosította, amely lehetővé teszi a jogosultságok kiterjesztését az aktiválási kontextus gyorsítótár-mérgezésén keresztül.

A legnagyobb kudarc (Most Epic FAIL).

A díjat a TSA (Közlekedésbiztonsági Igazgatóság) USA, amely nem korlátozta a hozzáférést az Elasticsearch nyilvánosan elérhető adattárához, amely többek között tartalmazott egy repülési listát.

A legtöbb nyalási reakció

A termék sérülékenységi jelentésére adott leginkább nem megfelelő válasz jelölése. A győzelmet a Threema szerezte meg, aki szeszélyesen reagált a vállalat "biztonságos" üzenetküldési protokolljának biztonsági elemzésére, és nem tartotta súlyosnak a megállapított kritikus problémákat.

Végül, ha többet szeretne megtudni róla, tájékozódhat a részletekről a következő dokumentum amelyben megosztják az egyes esetek részleteit.

Érdemes megemlíteni, hogy a hivatalos Pwnie Awards webhelyen a dokumentumban megosztott információk még nem frissültek, és már csak napok kérdése, hogy ugyanaz az információ megjelenjen. a weboldalon.


Hagyja megjegyzését

E-mail címed nem kerül nyilvánosságra. Kötelező mezők vannak jelölve *

*

*

  1. Az adatokért felelős: AB Internet Networks 2008 SL
  2. Az adatok célja: A SPAM ellenőrzése, a megjegyzések kezelése.
  3. Legitimáció: Az Ön beleegyezése
  4. Az adatok közlése: Az adatokat csak jogi kötelezettség alapján továbbítjuk harmadik felekkel.
  5. Adattárolás: Az Occentus Networks (EU) által üzemeltetett adatbázis
  6. Jogok: Bármikor korlátozhatja, helyreállíthatja és törölheti adatait.