Aquests són els guanyadors dels Pwnie Awards 2023

Darkcrizt

4 minuts

Premis Pwnie 2023

Premis Pwnie 2023

Durant la conferència Black Hat USA 2023 que va ser celebrada fa alguns dies ( del 5 agost al 10 d'agost, al Centre de convencions del Mandalay Bay, a Las Vegas) es va donar a conèixer el anunci de la llista de guanyadors dels premis anuals Premis Pwnie 2023

Per als qui desconeixen dels Pwnie Awards, han de saber que este és un esdeveniment destacat, en què els participants donen a conèixer les vulnerabilitats més significatives i falles absurdes en el camp de la seguretat informàtica.

Els premis Pwnie reconeixen tant l'excel·lència com la incompetència al camp de la seguretat de la informació. Els guanyadors són seleccionats per un comitè de professionals de la indústria de la seguretat a partir de nominacions recopilades de la comunitat de seguretat de la informació.

Els premis es lliuren anualment a la Black Hat Security Conference i es consideren com un homòleg els premis Oscar i Golden Raspberry en seguretat informàtica.

Llista de guanyadors dels Pwnie Awards 2023

Millor vulnerabilitat d'escriptori

El guanyador va ser la vulnerabilitat CVE-2022-22036 al mecanisme Performance Counters, que us permet elevar els vostres privilegis a Windows.

Millor vulnerabilitat d'escalada de privilegis.

El guanyador va ser la vulnerabilitat USB Excalibur (CVE-2022-31705) a la implementació del controlador USB utilitzat en els productes de virtualització VMware ESXi, Workstation i Fusion. La vulnerabilitat permet accedir a l'entorn amfitrió des del sistema convidat i executar codi amb els drets del procés VMX.

La millor vulnerabilitat d'execució remota

El guanyador va ser la vulnerabilitat (CVE-2023-20032) a l'antivirus gratuït ClamAV que permet l'execució de codi en escanejar fitxers amb imatges de disc especialment dissenyades en format HFS+ (per exemple, en escanejar fitxers extrets de correus electrònics en un correu electrònic). servidor).

L'èxit més gran.

El premi va ser per a Clement Lecigne del Grup d'Anàlisi d'Amenaces de Google pel seu treball en la identificació de 33 vulnerabilitats 0 day utilitzades per atacar Chrome, iOS i Android.

El millor atac criptogràfic.

El premi va ser atorgat al mètode d'atac que permet recuperar remotament els valors de les claus de xifratge realitzant l'anàlisi de l'indicador LED (del qual compartim una publicació aquí al bloc). Això permet recuperar les claus de xifratge basades en els algoritmes ECDSA i SIKE a través de l'anàlisi de vídeo d'una càmera que captura l'indicador LED d'un lector de targetes intel·ligents o un dispositiu connectat a un concentrador USB amb un telèfon intel·ligent que fa operacions amb el dongle.

atacar
Article relacionat:
I així és com poden desxifrar les claus privades del teu dispositiu basant-se en els parpellejos led 

Investigació més innovadora.

La victòria se la va emportar un estudi que va mostrar la possibilitat de fer servir el connector Lightning d'Apple per accedir a la interfície de depuració JTAG de l'iPhone i obtenir un control total sobre el dispositiu.

En aquesta categoria, val la pena esmentar que també es trobaven nominats, l'atac l'enfonsament a les CPU Intel i Centauri, un mètode basat en Rowhammer per generar fingerprints únics

La investigació més subestimada

En aquesta categoria, el guanyador va ser un estudi realitzat per un empleat de Trendmicro que va identificar una nova classe de vulnerabilitats a Windows CSRSS que permeten l'escalada de privilegis a través de l'enverinament de la memòria cau de context d'activació.

El fracàs més gran (Most Epic FAIL).

El premi el va rebre la TSA (Transportation Security Administration) dels EUA, que va oblidar restringir l'accés al repositori disponible públicament d'Elasticsearch, que, entre altres coses, contenia una llista de persones a les quals no se'ls permetia pujar als avions (No Fly List).

La reacció més llepar

Nominació a la resposta més inapropiada a un informe de vulnerabilitat al propi producte. La victòria se la va emportar Threema, que va reaccionar capritxosament a l'anàlisi de seguretat del protocol de missatgeria «segura» de l'empresa i no va considerar greus els problemes crítics identificats.

Finalment si estàs interessat a poder conèixer més sobre això, pots consultar els detalls al següent document en què es comparteixen els detalls de cada cas.

Cal esmentar que al lloc oficial dels Pwnie Awards, encara no s'ha actualitzat la informació compartida al document i només és qüestió de dies perquè aquesta mateixa informació es pugui visualitzar en el lloc web.


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: AB Internet Networks 2008 SL
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.