Během konference Black Hat USA 2023 který se konal před několika dny (od 5. srpna do 10. srpna v kongresovém centru Mandalay Bay v Las Vegas) stalo se známým vyhlášení seznamu vítězů výročních cen Pwnie Awards 2023
Pro ty, kteří neznají ceny Pwnie, měli byste vědět, že anoa je to významná událost, ve kterém účastníci odhalují nejvýznamnější zranitelnosti a absurdní selhání v oblasti počítačové bezpečnosti.
Ceny Pwnie oceňují jak dokonalost, tak nekompetentnost v oblasti informační bezpečnosti. Vítěze vybírá komise odborníků z bezpečnostního průmyslu z nominací shromážděných od komunity informační bezpečnosti.
Ceny se udělují každoročně na konferenci Black Hat Security Conference a jsou považovány za protějšek cen Oscar a Zlatá malina v počítačové bezpečnosti.
Seznam vítězů Pwnie Awards 2023
Nejlepší zranitelnost desktopu
Vítězem byla zranitelnost CVE-2022-22036 v mechanismu Performance Counters, který vám umožňuje zvýšit vaše oprávnění ve Windows.
Lepší zranitelnost eskalace oprávnění.
Vítězem byla zranitelnost USB Excalibur (CVE-2022-31705) v implementaci ovladače USB používané ve virtualizačních produktech VMware ESXi, Workstation a Fusion. Tato chyba zabezpečení umožňuje přístup do hostitelského prostředí z hostujícího systému a provádění kódu s právy procesu VMX.
Nejlepší zranitelnost vzdáleného spuštění
Vítězem byla zranitelnost (CVE-2023-20032) v bezplatném antiviru ClamAV, který umožňuje spuštění kódu při skenování souborů se speciálně vytvořenými obrazy disků ve formátu HFS+ (například při skenování souborů extrahovaných z e-mailů v e-mailu). server).
Největší úspěch.
Ocenění získal Clement Lecigne z Google Threat Analysis Group za jeho práci na identifikaci 33 0denních zranitelností používaných k útoku na Chrome, iOS a Android.
Nejlepší krypto útok.
Cena byla udělena metodě útoku, která umožňuje na dálku obnovit hodnoty šifrovacích klíčů provedením analýzy LED indikátoru (z toho sdílíme zde příspěvek na blogu). Což umožňuje obnovit šifrovací klíče založené na algoritmech ECDSA a SIKE prostřednictvím videoanalýzy kamery, která zachycuje LED indikátor čtečky čipových karet nebo zařízení připojeného k rozbočovači USB s chytrým telefonem, který provádí operace s hardwarovým klíčem.
Nejinovativnější výzkum.
Vítězství vyhrála studie, která ukázala možnost využití konektoru Lightning od Applu pro přístup k ladicímu rozhraní JTAG iPhonu a získání plné kontroly nad zařízením.
V této kategorii stojí za zmínku, že byli nominováni také, útok Pád na procesory Intel a Centauri, metoda založená na Rowhammerovi generovat jedinečné otisky prstů
Nejvíce podceňovaný výzkum
V této kategorii zvítězila studie zaměstnance Trendmicro, která identifikovala novou třídu zranitelností ve Windows CSRSS, které umožňují eskalaci oprávnění prostřednictvím otravy mezipaměti kontextu aktivace.
Největší selhání (Most Epic FAIL).
Ocenění převzal TSA (Správa bezpečnosti dopravy) USA, kterým se nepodařilo omezit přístup k veřejně dostupnému úložišti Elasticsearch, které mimo jiné obsahovalo No Fly List.
Nejvíce lízaná reakce
Nominace za nejnevhodnější reakci na zprávu o zranitelnosti v samotném produktu. Vítězství připadlo společnosti Threema, která na bezpečnostní analýzu „zabezpečeného“ protokolu pro zasílání zpráv společnosti reagovala rozmarně a nepovažovala zjištěné kritické problémy za závažné.
A konečně, pokud máte zájem dozvědět se o tom více, můžete se podívat na podrobnosti v další dokument ve kterém jsou sdíleny podrobnosti každého případu.
Za zmínku stojí, že na oficiální stránce Pwnie Awards nebyly informace sdílené v dokumentu dosud aktualizovány a je jen otázkou dnů, kdy se stejné informace zobrazí. na webové stránce.