„Black Hat USA 2023“ konferencijos metu kuris vyko prieš kelias dienas (nuo rugpjūčio 5 d. iki rugpjūčio 10 d., Mandalay Bay konferencijų centre, Las Vegase) tapo žinoma metinių apdovanojimų laureatų sąrašo paskelbimas Pwnie apdovanojimai 2023 m
Tiems, kurie nežino apie Pwnie apdovanojimus, turėtumėte žinoti, kad tai yrair yra svarbus įvykis, kuriame dalyviai atskleidžia reikšmingiausius pažeidžiamumus ir absurdiškas nesėkmes kompiuterių saugumo srityje.
Pwnie apdovanojimai pripažįsta ir kompetenciją, ir nekompetenciją informacijos saugumo srityje. Nugalėtojus atrenka saugumo pramonės profesionalų komitetas iš nominacijų, surinktų iš informacijos saugumo bendruomenės.
Apdovanojimai kasmet įteikiami Black Hat Security Conference ir jie laikomi „Oskaro“ ir „Auksinių aviečių“ apdovanojimų atitikmenimis kompiuterių saugumo srityje.
2023 m. „Pwnie Awards“ nugalėtojų sąrašas
Geriausias darbalaukio pažeidžiamumas
Nugalėtojas buvo pažeidžiamumas CVE-2022-22036 „Performance Counters“ mechanizme, kuris leidžia padidinti savo teises sistemoje „Windows“.
Geresnis privilegijų padidinimo pažeidžiamumas.
Nugalėtojas buvo pažeidžiamumas USB Excalibur (CVE-2022-31705) USB tvarkyklėje, naudojamoje VMware ESXi, Workstation ir Fusion virtualizacijos produktuose. Pažeidžiamumas leidžia pasiekti pagrindinę aplinką iš svečių sistemos ir vykdyti kodą su VMX proceso teisėmis.
Geriausias nuotolinio vykdymo pažeidžiamumas
Nugalėtojas buvo pažeidžiamumas (CVE-2023-20032) ClamAV nemokama antivirusinė programa, leidžianti vykdyti kodą nuskaitant failus su specialiai sukurtais disko vaizdais HFS+ formatu (pavyzdžiui, nuskaitant failus, ištrauktus iš el. laiškų). serveris).
Didžiausias pasiekimas.
Apdovanojimas atiteko Clementui Lecigne'ui iš „Google“ grėsmių analizės grupės už darbą nustatant 33 0 dienų pažeidžiamumus, naudojamus atakuojant „Chrome“, „iOS“ ir „Android“.
Geriausia kriptovaliutų ataka.
Apdovanojimas įteiktas atakos metodui, leidžiančiam nuotoliniu būdu atkurti šifravimo raktų reikšmes, atliekant LED indikatoriaus analizę (iš kurių dalinamės įrašu čia tinklaraštyje). Kuris leidžia atkurti šifravimo raktus pagal ECDSA ir SIKE algoritmus, atliekant kameros, kuri fiksuoja išmaniųjų kortelių skaitytuvo LED indikatorių arba įrenginio, prijungto prie USB šakotuvo su išmaniuoju telefonu, kuris atlieka operacijas su raktu, vaizdo analizę.
Inovatyviausi tyrimai.
Pergalę iškovojo tyrimas, kuris parodė galimybę naudoti Apple Lightning jungtį norint pasiekti iPhone JTAG derinimo sąsają ir visiškai valdyti įrenginį.
Šioje kategorijoje verta paminėti, kad jie taip pat buvo nominuoti, puolimas Kritimas prie Intel procesorių ir Centauri, metodas, pagrįstas Rowhammer sukurti unikalius pirštų atspaudus
Labiausiai neįvertintas tyrimas
Šioje kategorijoje nugalėjo Trendmicro darbuotojo atliktas tyrimas, kuris nustatė naują Windows CSRSS pažeidžiamumo klasę, leidžiančią padidinti privilegijas per aktyvinimo konteksto talpyklos apsinuodijimą.
Didžiausia nesėkmė (Most Epic FAIL).
Apdovanojimą gavo TSA (Transporto saugumo administracija) JAV, kuri nesugebėjo apriboti prieigos prie viešai prieinamos Elasticsearch saugyklos, kurioje, be kita ko, buvo sąrašas Nr.
Labiausiai laižo reakcija
Nominacija už netinkamiausią atsaką į pranešimą apie pažeidžiamumą pačiame gaminyje. Pergalė atiteko „Threemai“, kuri kaprizingai reagavo į bendrovės „saugaus“ pranešimų perdavimo protokolo saugumo analizę ir nelaikė kritinėmis problemomis, nustatytomis rimtomis.
Galiausiai, jei jus domina galimybė apie tai sužinoti daugiau, išsamią informaciją galite rasti kitas dokumentas kuriame dalijamasi kiekvienos bylos detalėmis.
Verta paminėti, kad oficialioje „Pwnie Awards“ svetainėje informacija, kuria dalijamasi dokumente, dar nebuvo atnaujinta ir ta pati informacija bus rodoma tik po kelių dienų. svetainėje.