Pwnie Awards 2023
Black Hat USA 2023 -konferenssin aikana joka pidettiin muutama päivä sitten (5. elokuuta - 10. elokuuta Mandalay Bay Convention Centerissä Las Vegasissa) se tuli tunnetuksi vuosipalkintojen voittajien luettelon julkistaminen Pwnie Awards 2023
Niiden, jotka eivät ole tietoisia Pwnie Awardsista, sinun pitäisi tietää, että se onja on merkittävä tapahtuma, jossa osallistujat paljastavat tietoturva-alan merkittävimmät haavoittuvuudet ja absurdit epäonnistumiset.
Pwnie-palkinnot tunnustavat sekä huippuosaamisen että epäpätevyyden tietoturvan alalla. Voittajat valitsee tietoturva-alan ammattilaisista koostuva komitea tietoturvayhteisöltä kerätyistä ehdokkaista.
Palkinnot jaetaan vuosittain Black Hat Security Conferencessa ja niitä pidetään tietokoneturvallisuuden Oscar- ja Golden Raspberry -palkintojen vastineena.
Pwnie Awards 2023 -voittajalista
Paras työpöydän haavoittuvuus
Voittaja oli haavoittuvuus CVE-2022-22036 Performance Counters -mekanismissa, jonka avulla voit nostaa oikeuksiasi Windowsissa.
Parempi etuoikeuksien eskalaatiohaavoittuvuus.
Voittaja oli haavoittuvuus USB Excalibur (CVE-2022-31705) VMware ESXi-, Workstation- ja Fusion-virtualisointituotteissa käytetyssä USB-ohjaintoteutuksessa. Haavoittuvuus mahdollistaa pääsyn isäntäympäristöön vierasjärjestelmästä ja koodin suorittamisen VMX-prosessin oikeuksin.
Paras etäsuorituksen haavoittuvuus
Voittaja oli haavoittuvuus (CVE-2023-20032) ilmaisessa ClamAV-viruksentorjuntaohjelmassa, joka sallii koodin suorittamisen, kun skannataan tiedostoja, joissa on erityisesti muotoiltuja levykuvia HFS+-muodossa (esimerkiksi kun tarkistetaan sähköpostiviesteistä poimittuja tiedostoja). palvelin).
Suurin saavutus.
Palkinnon sai Clement Lecigne Googlen Threat Analysis Groupista hänen työstään 33 0 päivän haavoittuvuuksien tunnistamisessa, joita käytettiin Chromen, iOS:n ja Androidin hyökkäyksissä.
Paras kryptohyökkäys.
Palkinto myönnettiin hyökkäysmenetelmälle, joka mahdollistaa salausavainten arvojen etäpalautuksen suorittamalla LED-ilmaisimen analyysin (josta jaamme postauksen täällä blogissa). Se mahdollistaa ECDSA- ja SIKE-algoritmeihin perustuvien salausavainten palauttamisen kameran videoanalyysin avulla, joka tallentaa älykortinlukijan LED-ilmaisimen tai USB-keskittimeen liitetyn laitteen älypuhelimella, joka suorittaa toimintoja donglen kanssa.
Innovatiivisin tutkimus.
Voiton voitti tutkimus, joka osoitti mahdollisuuden käyttää Applen Lightning-liitintä iPhonen JTAG-virheenkorjausliittymään ja laitteen täyden hallintaan.
Tässä kategoriassa on syytä mainita, että he olivat myös ehdolla, hyökkäys downfall Intel-suorittimiin ja Centauri, Rowhammeriin perustuva menetelmä luoda ainutlaatuisia sormenjälkiä
Aliarvostetuin tutkimus
Tässä kategoriassa voitti Trendmicron työntekijän tutkimus, joka tunnisti uuden luokan Windows CSRSS:n haavoittuvuuksia, jotka mahdollistavat oikeuksien eskaloinnin aktivointikontekstin välimuistin myrkytyksellä.
Suurin epäonnistuminen (Most Epic FAIL).
Palkinnon sai TSA (Liikenneturvallisuushallinto) USA, joka ei onnistunut rajoittamaan pääsyä Elasticsearchin julkisesti saatavilla olevaan tietovarastoon, joka sisälsi muun muassa No Fly List -luettelon.
Eniten nuolla reaktio
Nimitys itse tuotteen epäsopivimmasta vastauksesta haavoittuvuusraporttiin. Voitto meni Threemalle, joka reagoi oivaltavasti yrityksen "suojatun" viestintäprotokollan tietoturva-analyysiin eikä pitänyt kriittisiä ongelmia vakavina.
Lopuksi, jos olet kiinnostunut saamaan lisätietoja siitä, voit tutustua yksityiskohtiin osoitteessa seuraava dokumentti jossa jaetaan kunkin tapauksen yksityiskohdat.
On syytä mainita, että virallisella Pwnie Awards -sivustolla asiakirjassa jaettuja tietoja ei ole vielä päivitetty, ja on vain päivien kysymys, että samat tiedot näkyvät. nettisivulla.