Under Black Hat USA 2023-konferensen som hölls för några dagar sedan (från 5 augusti till 10 augusti, på Mandalay Bay Convention Center i Las Vegas) blev det känt tillkännagivande av listan över vinnare av de årliga utmärkelserna Pwnie Awards 2023
För de som inte är medvetna om Pwnie Awards bör du veta att det är detoch är en framstående händelse, där deltagarna avslöjar de mest betydande sårbarheterna och absurda felen inom datasäkerhetsområdet.
Pwnie Awards erkänner både spetskompetens och inkompetens inom området informationssäkerhet. Vinnarna utses av en kommitté bestående av experter inom säkerhetsbranschen från nomineringar som samlats in från informationssäkerhetsgemenskapen.
Priserna delas ut årligen på Black Hat Security Conference och de anses vara en motsvarighet till utmärkelserna Oscar och Golden Raspberry inom datorsäkerhet.
Pwnie Awards 2023 vinnarlista
Bästa sårbarheten för skrivbordet
Vinnaren var sårbarhet CVE-2022-22036 i Performance Counters-mekanismen, som låter dig höja dina privilegier i Windows.
Bättre sårbarhet för eskalering av privilegier.
Vinnaren var sårbarhet USB Excalibur (CVE-2022-31705) i USB-drivrutinsimplementeringen som används i VMware ESXi, Workstation och Fusion virtualiseringsprodukter. Sårbarheten tillåter åtkomst till värdmiljön från gästsystemet och exekvering av kod med rättigheterna för VMX-processen.
Den bästa sårbarheten för fjärrexekvering
Vinnaren var sårbarhet (CVE-2023-20032) i ClamAV gratis antivirus som tillåter exekvering av kod vid skanning av filer med specialgjorda skivbilder i HFS+-format (till exempel vid skanning av filer som extraherats från e-postmeddelanden i ett e-postmeddelande). server).
Den största bedriften.
Priset gick till Clement Lecigne från Googles Threat Analysis Group för hans arbete med att identifiera 33 0-dagars sårbarheter som använts för att attackera Chrome, iOS och Android.
Den bästa kryptoattacken.
Priset tilldelades attackmetoden som gör det möjligt att fjärråterställa värdena på krypteringsnycklarna genom att utföra analysen av LED-indikatorn (varav vi delar ett inlägg här på bloggen). Vilket gör det möjligt att återställa krypteringsnycklar baserade på ECDSA- och SIKE-algoritmer genom videoanalys av en kamera som fångar LED-indikatorn för en smartkortläsare eller en enhet ansluten till en USB-hubb med en smartphone som utför operationer med dongeln.
Mest innovativa forskningen.
Segern vanns av en studie som visade på möjligheten att använda Apples Lightning-kontakt för att komma åt iPhones JTAG-felsökningsgränssnitt och få full kontroll över enheten.
I denna kategori är det värt att nämna att de också nominerades, attacken Undergång till Intel-processorer och Centauri, en metod baserad på Rowhammer för att skapa unika fingeravtryck
Mest underskattad forskning
I den här kategorin var vinnaren en studie av en Trendmicro-anställd som identifierade en ny klass av sårbarheter i Windows CSRSS som tillåter privilegieskalering via aktiveringskontextcacheförgiftning.
Det största misslyckandet (Most Epic FAIL).
Priset mottogs av TSA (Transportsäkerhetsadministration) USA, som misslyckades med att begränsa åtkomsten till Elasticsearchs offentligt tillgängliga repository, som bland annat innehöll en No Fly List.
Den mest slickreaktionen
Nominering för det mest olämpliga svaret på en sårbarhetsrapport i själva produkten. Segern gick till Threema, som reagerade nyckfullt på säkerhetsanalysen av företagets "säkra" meddelandeprotokoll och inte ansåg kritiska problem som identifierats som allvarliga.
Slutligen, om du är intresserad av att kunna veta mer om det, kan du konsultera detaljerna i nästa dokument där detaljerna i varje fall delas.
Det är värt att nämna att på den officiella Pwnie Awards-webbplatsen har informationen som delas i dokumentet ännu inte uppdaterats och det är bara en fråga om dagar för samma information att visas. på hemsidan.