เหล่านี้คือผู้ชนะรางวัล Pwnie Awards 2023

รางวัล Pwnie 2023

รางวัล Pwnie 2023

ระหว่างการประชุม Black Hat USA 2023 ซึ่งจัดขึ้นเมื่อไม่กี่วันก่อน (ตั้งแต่วันที่ 5 สิงหาคม ถึง 10 สิงหาคม ที่ศูนย์การประชุมมันดาเลย์เบย์ ในลาสเวกัส) มันกลายเป็นที่รู้จัก ประกาศรายชื่อผู้ได้รับรางวัลประจำปี รางวัล Pwnie 2023

สำหรับผู้ที่ไม่รู้จักรางวัล Pwnie คุณควรรู้ว่าเป็นเช่นนั้นและเป็นเหตุการณ์สำคัญ ซึ่งผู้เข้าร่วมเปิดเผยช่องโหว่ที่สำคัญที่สุดและความล้มเหลวที่ไร้สาระในด้านการรักษาความปลอดภัยคอมพิวเตอร์

รางวัล Pwnie Awards ยกย่องทั้งความเป็นเลิศและไร้ความสามารถในด้านการรักษาความปลอดภัยข้อมูล ผู้ชนะจะถูกเลือกโดยคณะกรรมการผู้เชี่ยวชาญด้านอุตสาหกรรมความปลอดภัยจากการเสนอชื่อที่รวบรวมจากชุมชนความปลอดภัยข้อมูล

รางวัลจะถูกนำเสนอเป็นประจำทุกปีในการประชุม Black Hat Security Conference และ พวกเขาถือเป็นรางวัลออสการ์และรางวัล Golden Raspberry ในด้านความปลอดภัยของคอมพิวเตอร์

รายชื่อผู้ชนะรางวัล Pwnie Awards 2023

ช่องโหว่บนเดสก์ท็อปที่ดีที่สุด

ผู้ชนะคือความเปราะบาง CVE-2022-22036 ในกลไก Performance Counters ซึ่งอนุญาตให้คุณยกระดับสิทธิ์ของคุณใน Windows

ช่องโหว่การยกระดับสิทธิ์ที่ดีขึ้น

ผู้ชนะคือความเปราะบาง คาลิเบอร์ USB (CVE-2022-31705) ในการปรับใช้ไดรเวอร์ USB ที่ใช้ในผลิตภัณฑ์ VMware ESXi, Workstation และ Fusion virtualization ช่องโหว่นี้อนุญาตให้เข้าถึงสภาพแวดล้อมโฮสต์จากระบบแขกและเรียกใช้โค้ดด้วยสิทธิ์ของกระบวนการ VMX

ช่องโหว่การทำงานระยะไกลที่ดีที่สุด

ผู้ชนะคือความเปราะบาง (CVE-2023-20032) ในโปรแกรมป้องกันไวรัสฟรีของ ClamAV ที่อนุญาตให้ใช้โค้ดเมื่อสแกนไฟล์ที่มีดิสก์อิมเมจที่สร้างขึ้นเป็นพิเศษในรูปแบบ HFS+ (เช่น เมื่อสแกนไฟล์ที่แยกจากอีเมลในอีเมล) เซิร์ฟเวอร์).

ความสำเร็จที่ยิ่งใหญ่ที่สุด

รางวัลดังกล่าวตกเป็นของ Clement Lecigne จาก Threat Analysis Group ของ Google สำหรับผลงานของเขาในการระบุช่องโหว่ 33 0 วันที่ใช้ในการโจมตี Chrome, iOS และ Android

การโจมตี crypto ที่ดีที่สุด

รางวัลนี้มอบให้กับวิธีการโจมตีที่อนุญาตให้กู้คืนค่าของคีย์การเข้ารหัสจากระยะไกลโดยการวิเคราะห์ตัวบ่งชี้ LED (ซึ่ง เราแชร์โพสต์ที่นี่ ในบล็อก) ซึ่งช่วยให้สามารถกู้คืนคีย์การเข้ารหัสตามอัลกอริทึม ECDSA และ SIKE ผ่านการวิเคราะห์วิดีโอของกล้องที่จับภาพไฟแสดงสถานะ LED ของเครื่องอ่านสมาร์ทการ์ดหรืออุปกรณ์ที่เชื่อมต่อกับฮับ USB ด้วยสมาร์ทโฟนที่ดำเนินการกับดองเกิล

โจมตี
บทความที่เกี่ยวข้อง:
และนี่คือวิธีที่พวกเขาสามารถถอดรหัสคีย์ส่วนตัวของอุปกรณ์ของคุณตามไฟ LED ที่กะพริบ 

งานวิจัยที่มีนวัตกรรมมากที่สุด

ชัยชนะเป็นของการศึกษาที่แสดงให้เห็นความเป็นไปได้ในการใช้ตัวเชื่อมต่อ Lightning ของ Apple เพื่อเข้าถึงอินเทอร์เฟซการดีบัก JTAG ของ iPhone และควบคุมอุปกรณ์ได้อย่างเต็มที่

ในหมวดหมู่นี้ เป็นมูลค่าการกล่าวขวัญว่าพวกเขาได้รับการเสนอชื่อเข้าชิงด้วยเช่นกัน การโจมตี ความหายนะ ถึง Intel CPUs และ Centauri วิธีการตาม Rowhammer เพื่อสร้างลายนิ้วมือที่ไม่ซ้ำใคร

งานวิจัยที่ประเมินค่าต่ำที่สุด

ในหมวดหมู่นี้ ผู้ชนะคือการศึกษาโดยพนักงานของ Trendmicro ซึ่งระบุช่องโหว่ประเภทใหม่ใน Windows CSRSS ที่อนุญาตให้มีการยกระดับสิทธิ์ผ่านพิษแคชบริบทการเปิดใช้งาน

ความล้มเหลวครั้งใหญ่ที่สุด (Most Epic FAIL)

รับรางวัลโดย TSA (กองอำนวยการรักษาความมั่นคงในการขนส่ง) สหรัฐอเมริกา ซึ่งล้มเหลวในการจำกัดการเข้าถึงพื้นที่เก็บข้อมูลที่เปิดเผยต่อสาธารณะของ Elasticsearch ซึ่งมี No Fly List อยู่ด้วย

ปฏิกิริยาเลียมากที่สุด

การเสนอชื่อสำหรับการตอบสนองที่ไม่เหมาะสมที่สุดต่อรายงานช่องโหว่ในตัวผลิตภัณฑ์ ชัยชนะตกเป็นของ Threema ซึ่งตอบสนองตามอำเภอใจต่อการวิเคราะห์ความปลอดภัยของโปรโตคอลการส่งข้อความที่ "ปลอดภัย" ของบริษัท และไม่ถือว่าประเด็นสำคัญที่ถูกระบุว่าร้ายแรง

สุดท้ายนี้ หากสนใจอยากทราบข้อมูลเพิ่มเติม สามารถเข้าไปดูรายละเอียดใน เอกสารถัดไป โดยจะมีการแชร์รายละเอียดของแต่ละกรณี

เป็นมูลค่าการกล่าวขวัญว่าในเว็บไซต์ Pwnie Awards อย่างเป็นทางการ ข้อมูลที่แบ่งปันในเอกสารยังไม่ได้รับการปรับปรุง และเป็นเพียงไม่กี่วันสำหรับข้อมูลเดียวกันนี้ที่จะแสดง บนเว็บไซต์.


เป็นคนแรกที่จะแสดงความคิดเห็น

แสดงความคิดเห็นของคุณ

อีเมล์ของคุณจะไม่ถูกเผยแพร่ ช่องที่ต้องการถูกทำเครื่องหมายด้วย *

*

*

  1. รับผิดชอบข้อมูล: AB Internet Networks 2008 SL
  2. วัตถุประสงค์ของข้อมูล: ควบคุมสแปมการจัดการความคิดเห็น
  3. ถูกต้องตามกฎหมาย: ความยินยอมของคุณ
  4. การสื่อสารข้อมูล: ข้อมูลจะไม่ถูกสื่อสารไปยังบุคคลที่สามยกเว้นตามข้อผูกพันทางกฎหมาย
  5. การจัดเก็บข้อมูล: ฐานข้อมูลที่โฮสต์โดย Occentus Networks (EU)
  6. สิทธิ์: คุณสามารถ จำกัด กู้คืนและลบข้อมูลของคุณได้ตลอดเวลา