Ovo su dobitnici Pwnie nagrada 2023

Pwnie nagrade 2023

Pwnie nagrade 2023

Tokom konferencije Black Hat USA 2023 koji je održan prije nekoliko dana (od 5. do 10. avgusta u kongresnom centru Mandalay Bay, u Las Vegasu) postalo je poznato proglašenje liste dobitnika godišnjih nagrada Pwnie nagrade 2023

Za one koji nisu svjesni Pwnie nagrada, trebali biste znati da jestei značajan je događaj, u kojoj učesnici otkrivaju najznačajnije ranjivosti i apsurdne propuste u oblasti računarske bezbednosti.

Pwnie nagrade priznaju i izvrsnost i nekompetentnost u oblasti informacione sigurnosti. Pobjednike bira komisija profesionalaca iz sigurnosne industrije prema nominacijama prikupljenim od zajednice informacione sigurnosti.

Nagrade se dodjeljuju svake godine na Black Hat Security Conference i smatraju se kao pandan nagradama Oscar i Zlatna malina u oblasti kompjuterske sigurnosti.

Lista pobjednika Pwnie Awards 2023

Najbolja ranjivost desktopa

Pobjednik je bila ranjivost CVE-2022-22036 u mehanizmu Performance Counters, koji vam omogućava da povećate svoje privilegije u Windows-u.

Bolja ranjivost eskalacije privilegija.

Pobjednik je bila ranjivost USB Excalibur (CVE-2022-31705) u implementaciji USB drajvera koja se koristi u VMware ESXi, Workstation i Fusion proizvodima za virtuelizaciju. Ranjivost omogućava pristup host okruženju sa gostujućeg sistema i izvršavanje koda sa pravima VMX procesa.

Najbolja ranjivost u daljinskom izvršavanju

Pobjednik je bila ranjivost (CVE-2023-20032) u ClamAV besplatnom antivirusu koji omogućava izvršavanje koda prilikom skeniranja datoteka sa posebno kreiranim slikama diska u HFS+ formatu (na primjer, kada skenirate datoteke ekstrahovane iz e-poruka u e-poruci). server).

Najveće dostignuće.

Nagrada je pripala Clementu Lecigneu iz Google-ove grupe za analizu prijetnji za njegov rad na identifikaciji ranjivosti od 33 0 dana korištenih za napad na Chrome, iOS i Android.

Najbolji kripto napad.

Nagrada je dodijeljena metodi napada koja omogućava daljinski povrat vrijednosti ključeva za šifriranje izvođenjem analize LED indikatora (od kojih ovdje dijelimo objavu na blogu). Što omogućava povrat ključeva za enkripciju bazirane na ECDSA i SIKE algoritmima kroz video analizu kamere koja bilježi LED indikator čitača pametnih kartica ili uređaja spojenog na USB hub sa pametnim telefonom koji obavlja operacije s ključem.

Atak
Vezani članak:
A ovako mogu da razbiju privatne ključeve vašeg uređaja na osnovu treptanja LED dioda 

Najinovativnije istraživanje.

Pobjedu je odnijela studija koja je pokazala mogućnost korištenja Appleovog Lightning konektora za pristup iPhone JTAG interfejsu za otklanjanje grešaka i potpunu kontrolu nad uređajem.

U ovoj kategoriji, vrijedi spomenuti da su i oni nominirani, napad Padanje na Intelove procesore i Centauri, metoda zasnovana na Rowhammeru za generiranje jedinstvenih otisaka prstiju

Najpodcijenjenije istraživanje

U ovoj kategoriji, pobjednik je bila studija zaposlenika Trendmicro-a koja je identifikovala novu klasu ranjivosti u Windows CSRSS-u koje omogućavaju eskalaciju privilegija putem trovanja keš memorije konteksta aktivacije.

Najveći neuspjeh (Most Epic FAIL).

Nagradu su primili TSA (Uprava za sigurnost transporta) SAD, koji nije uspio ograničiti pristup javno dostupnom repozitorijumu Elasticsearch-a, koji je, između ostalog, sadržavao listu zabranjenih letova.

Najsličnija reakcija

Nominacija za najneprikladniji odgovor na prijavu ranjivosti u samom proizvodu. Pobjedu je odnijela Threema, koja je hirovito reagirala na sigurnosnu analizu kompanijskog "sigurnog" protokola za razmjenu poruka i nije smatrala da su kritični problemi uočeni ozbiljnima.

Konačno, ako ste zainteresovani da saznate više o tome, možete pogledati detalje u sljedeći dokument u kojem se dijele detalji svakog slučaja.

Vrijedi spomenuti da na službenoj stranici Pwnie Awards, informacije koje se dijele u dokumentu još nisu ažurirane i samo je pitanje dana da će te iste informacije biti prikazane. na web lokaciji.


Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Odgovoran za podatke: AB Internet Networks 2008 SL
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.