Tai yra „Pwnie Awards 2023“ nugalėtojai

Pwnie apdovanojimai 2023 m

Pwnie apdovanojimai 2023 m

„Black Hat USA 2023“ konferencijos metu kuris vyko prieš kelias dienas (nuo rugpjūčio 5 d. iki rugpjūčio 10 d., Mandalay Bay konferencijų centre, Las Vegase) tapo žinoma metinių apdovanojimų laureatų sąrašo paskelbimas Pwnie apdovanojimai 2023 m

Tiems, kurie nežino apie Pwnie apdovanojimus, turėtumėte žinoti, kad tai yrair yra svarbus įvykis, kuriame dalyviai atskleidžia reikšmingiausius pažeidžiamumus ir absurdiškas nesėkmes kompiuterių saugumo srityje.

Pwnie apdovanojimai pripažįsta ir kompetenciją, ir nekompetenciją informacijos saugumo srityje. Nugalėtojus atrenka saugumo pramonės profesionalų komitetas iš nominacijų, surinktų iš informacijos saugumo bendruomenės.

Apdovanojimai kasmet įteikiami Black Hat Security Conference ir jie laikomi „Oskaro“ ir „Auksinių aviečių“ apdovanojimų atitikmenimis kompiuterių saugumo srityje.

2023 m. „Pwnie Awards“ nugalėtojų sąrašas

Geriausias darbalaukio pažeidžiamumas

Nugalėtojas buvo pažeidžiamumas CVE-2022-22036 „Performance Counters“ mechanizme, kuris leidžia padidinti savo teises sistemoje „Windows“.

Geresnis privilegijų padidinimo pažeidžiamumas.

Nugalėtojas buvo pažeidžiamumas USB Excalibur (CVE-2022-31705) USB tvarkyklėje, naudojamoje VMware ESXi, Workstation ir Fusion virtualizacijos produktuose. Pažeidžiamumas leidžia pasiekti pagrindinę aplinką iš svečių sistemos ir vykdyti kodą su VMX proceso teisėmis.

Geriausias nuotolinio vykdymo pažeidžiamumas

Nugalėtojas buvo pažeidžiamumas (CVE-2023-20032) ClamAV nemokama antivirusinė programa, leidžianti vykdyti kodą nuskaitant failus su specialiai sukurtais disko vaizdais HFS+ formatu (pavyzdžiui, nuskaitant failus, ištrauktus iš el. laiškų). serveris).

Didžiausias pasiekimas.

Apdovanojimas atiteko Clementui Lecigne'ui iš „Google“ grėsmių analizės grupės už darbą nustatant 33 0 dienų pažeidžiamumus, naudojamus atakuojant „Chrome“, „iOS“ ir „Android“.

Geriausia kriptovaliutų ataka.

Apdovanojimas įteiktas atakos metodui, leidžiančiam nuotoliniu būdu atkurti šifravimo raktų reikšmes, atliekant LED indikatoriaus analizę (iš kurių dalinamės įrašu čia tinklaraštyje). Kuris leidžia atkurti šifravimo raktus pagal ECDSA ir SIKE algoritmus, atliekant kameros, kuri fiksuoja išmaniųjų kortelių skaitytuvo LED indikatorių arba įrenginio, prijungto prie USB šakotuvo su išmaniuoju telefonu, kuris atlieka operacijas su raktu, vaizdo analizę.

ataka
Susijęs straipsnis:
Ir taip jie gali nulaužti privačius jūsų įrenginio raktus, remdamiesi šviesos diodų mirksėjimu 

Inovatyviausi tyrimai.

Pergalę iškovojo tyrimas, kuris parodė galimybę naudoti Apple Lightning jungtį norint pasiekti iPhone JTAG derinimo sąsają ir visiškai valdyti įrenginį.

Šioje kategorijoje verta paminėti, kad jie taip pat buvo nominuoti, puolimas Kritimas prie Intel procesorių ir Centauri, metodas, pagrįstas Rowhammer sukurti unikalius pirštų atspaudus

Labiausiai neįvertintas tyrimas

Šioje kategorijoje nugalėjo Trendmicro darbuotojo atliktas tyrimas, kuris nustatė naują Windows CSRSS pažeidžiamumo klasę, leidžiančią padidinti privilegijas per aktyvinimo konteksto talpyklos apsinuodijimą.

Didžiausia nesėkmė (Most Epic FAIL).

Apdovanojimą gavo TSA (Transporto saugumo administracija) JAV, kuri nesugebėjo apriboti prieigos prie viešai prieinamos Elasticsearch saugyklos, kurioje, be kita ko, buvo sąrašas Nr.

Labiausiai laižo reakcija

Nominacija už netinkamiausią atsaką į pranešimą apie pažeidžiamumą pačiame gaminyje. Pergalė atiteko „Threemai“, kuri kaprizingai reagavo į bendrovės „saugaus“ pranešimų perdavimo protokolo saugumo analizę ir nelaikė kritinėmis problemomis, nustatytomis rimtomis.

Galiausiai, jei jus domina galimybė apie tai sužinoti daugiau, išsamią informaciją galite rasti kitas dokumentas kuriame dalijamasi kiekvienos bylos detalėmis.

Verta paminėti, kad oficialioje „Pwnie Awards“ svetainėje informacija, kuria dalijamasi dokumente, dar nebuvo atnaujinta ir ta pati informacija bus rodoma tik po kelių dienų. svetainėje.


Palikite komentarą

Jūsų elektroninio pašto adresas nebus skelbiamas. Privalomi laukai yra pažymėti *

*

*

  1. Už duomenis atsakingas: AB Internet Networks 2008 SL
  2. Duomenų paskirtis: kontroliuoti šlamštą, komentarų valdymą.
  3. Įteisinimas: jūsų sutikimas
  4. Duomenų perdavimas: Duomenys nebus perduoti trečiosioms šalims, išskyrus teisinius įsipareigojimus.
  5. Duomenų saugojimas: „Occentus Networks“ (ES) talpinama duomenų bazė
  6. Teisės: bet kuriuo metu galite apriboti, atkurti ir ištrinti savo informaciją.