Dit zijn de winnaars van de Pwnie Awards 2023

Darkcrizt

4 minuten

Pwnie-prijzen 2023

Pwnie-prijzen 2023

Tijdens de Black Hat USA 2023-conferentie die een paar dagen geleden werd gehouden (van 5 augustus tot 10 augustus in het Mandalay Bay Convention Center in Las Vegas) het werd bekend bekendmaking van de lijst met winnaars van de jaarlijkse prijzen Pwnie-prijzen 2023

Voor degenen die niet op de hoogte zijn van de Pwnie Awards, moet u weten dat dit zo isen is een prominent evenement, waarin de deelnemers de belangrijkste kwetsbaarheden en absurde mislukkingen op het gebied van computerbeveiliging blootleggen.

De Pwnie Awards erkennen zowel excellentie als incompetentie op het gebied van informatiebeveiliging. Winnaars worden geselecteerd door een commissie van professionals uit de beveiligingsindustrie uit nominaties verzameld uit de informatiebeveiligingsgemeenschap.

De awards worden jaarlijks uitgereikt tijdens de Black Hat Security Conference en ze worden beschouwd als een tegenhanger van de Oscar- en Golden Raspberry-onderscheidingen op het gebied van computerbeveiliging.

Winnaarslijst Pwnie Awards 2023

Beste desktopkwetsbaarheid

De winnaar was kwetsbaarheid CVE-2022-22036 in het Performance Counters-mechanisme, waarmee u uw rechten in Windows kunt verhogen.

Betere kwetsbaarheid voor escalatie van bevoegdheden.

De winnaar was kwetsbaarheid USB-Excalibur (CVE-2022-31705) bij de implementatie van het USB-stuurprogramma dat wordt gebruikt in VMware ESXi-, Workstation- en Fusion-virtualisatieproducten. De kwetsbaarheid geeft toegang tot de hostomgeving vanaf het gastsysteem en het uitvoeren van code met de rechten van het VMX-proces.

De beste kwetsbaarheid voor uitvoering op afstand

De winnaar was kwetsbaarheid (CVE-2023-20032) in ClamAV gratis antivirusprogramma waarmee code kan worden uitgevoerd bij het scannen van bestanden met speciaal vervaardigde schijfkopieën in HFS+-indeling (bijvoorbeeld bij het scannen van bestanden die zijn geëxtraheerd uit e-mails in een e-mail). server).

De grootste prestatie.

De prijs ging naar Clement Lecigne van Google's Threat Analysis Group voor zijn werk om 33 0 dagen kwetsbaarheden te identificeren die worden gebruikt om Chrome, iOS en Android aan te vallen.

De beste crypto-aanval.

De prijs werd toegekend aan de aanvalsmethode die het mogelijk maakt om op afstand de waarden van de coderingssleutels te herstellen door de analyse van de LED-indicator uit te voeren (waarvan we delen hier een bericht op de weblog). Hiermee kunnen coderingssleutels worden hersteld op basis van ECDSA- en SIKE-algoritmen door middel van video-analyse van een camera die de LED-indicator van een smartcardlezer vastlegt of een apparaat dat is aangesloten op een USB-hub met een smartphone die bewerkingen uitvoert met de dongle.

aanval
Gerelateerd artikel:
En zo kunnen ze de privésleutels van uw apparaat kraken op basis van de led-knipperingen 

Meest innovatieve onderzoek.

De overwinning werd gewonnen door een studie die de mogelijkheid aantoonde om de Lightning-connector van Apple te gebruiken om toegang te krijgen tot de JTAG-foutopsporingsinterface van de iPhone en volledige controle over het apparaat te krijgen.

In deze categorie is het vermeldenswaard dat ze ook genomineerd waren, de aanval Downfall naar Intel CPU's en Centauri, een methode gebaseerd op Rowhammer om unieke vingerafdrukken te genereren

Meest onderschatte onderzoek

In deze categorie was de winnaar een onderzoek door een medewerker van Trendmicro die een nieuwe klasse van kwetsbaarheden in Windows CSRSS identificeerde die escalatie van privileges mogelijk maken via vergiftiging van de cache met activeringscontext.

De grootste mislukking (Most Epic FAIL).

De prijs werd in ontvangst genomen door TSA (Transportbeveiligingsadministratie) VS, die de toegang tot de openbaar beschikbare repository van Elasticsearch, die onder andere een No Fly List bevatte, niet heeft beperkt.

De meest likreactie

Nominatie voor de meest ongepaste reactie op een kwetsbaarheidsrapport in het product zelf. De overwinning ging naar Threema, die grillig reageerde op de beveiligingsanalyse van het "veilige" berichtenprotocol van het bedrijf en de geconstateerde kritieke problemen niet serieus achtte.

Tot slot, als u geïnteresseerd bent om er meer over te weten, kunt u de details raadplegen in de volgende document waarin de details van elk geval worden gedeeld.

Het is vermeldenswaard dat op de officiële Pwnie Awards-site de informatie die in het document wordt gedeeld nog niet is bijgewerkt en dat het slechts een kwestie van dagen is voordat dezelfde informatie wordt weergegeven. op de website.


Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: AB Internet Networks 2008 SL
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.