Es van donar a conèixer els guanyadors dels premis anuals Pwnie Awards 2020, el qual és un esdeveniment destacat, en el qual els participants donen a conèixer les vulnerabilitats més significatives i falles absurdes en el camp de la seguretat informàtica.
Els premis Pwnie reconeixen tant l'excel·lència com la incompetència en el camp de la seguretat de la informació. Els guanyadors són seleccionats per un comitè de professionals de la indústria de la seguretat a partir de nominacions recopilades de la comunitat de seguretat de la informació.
Els premis s'entreguen anualment a la Black Hat Security Conference. Els premis Pwnie es consideren com un homòleg als premis Oscar i Golden Raspberry en seguretat informàtica.
principals guanyadors
Millor error de servidor
Atorgat per identificar i explotar l'error tècnicament més complex i interessant en un servei de xarxa. La victòria va ser atorgada per la identificació de la vulnerabilitat CVE-2020-10188, que permet atacs remots a dispositius encastats amb firmware basat en Fedora 31 a través d'un buffer overflow en telnetd.
Millor error en programari client
Els guanyadors van ser els investigadors que van identificar una vulnerabilitat en el firmware d'Android de Samsung, que permet l'accés a l'dispositiu enviant MMS sense la participació de l'usuari.
Millor vulnerabilitat d'escalada
la victòria va ser atorgada per identificar una vulnerabilitat en el ROM d'arrencada via d'Apple iPhone, iPads, Apple Watches i Apple TV basats en xips A5, A6, A7, A8, A9, A10 i A11, el que li permet evitar el jailbreak de l'firmware i organitzar la càrrega d'altres sistemes operatius.
Millor atac criptogràfic
Atorgat per identificar les vulnerabilitats més significatives en sistemes, protocols i algoritmes de xifrat reals. El premi es va atorgar per identificar la vulnerabilitat Zerologon (CVE-2020-1472) en el protocol MS-NRPC i el criptoalgoritmo AES-CFB8, que permet a un atacant obtenir drets d'administrador en un controlador de domini de Windows o Samba.
Investigació més innovadora
El premi s'atorga als investigadors que han demostrat que els atacs RowHammer es poden utilitzar contra els xips de memòria DDR4 moderns per alterar el contingut dels bits individuals de la memòria dinàmica d'accés aleatori (DRAM).
La resposta més feble de fabricant (Lamest Vendor Response)
Nominat per la resposta més inadequada a un informe de vulnerabilitat en el seu propi producte. El guanyador és el mític Daniel J. Bernstein, qui fa 15 anys no ho va considerar greu i no va solucionar la vulnerabilitat (CVE-2005-1513) en qmail, ja que la seva explotació requeria un sistema de 64 bits amb més de 4GB de memòria virtual .
Durant 15 anys, els sistemes de 64 bits en servidors van suplantar als de 32 bits, la quantitat de memòria subministrada va augmentar dràsticament i, com a resultat, es va crear un exploit funcional que podria usar-se per atacar sistemes amb qmail en la configuració per defecte.
Vulnerabilitat més subestimada
El premi es va atorgar per vulnerabilitats (CVE-2019-0151, CVE-2019-0152) en el mecanisme Intel VTD / IOMMU, el que permet ometre la protecció de la memòria i executar codi en els nivells de System Management Mode (SMM) i Trusted Execution Technology (TXT), per exemple, per a substitució de rootkits en SMM. La gravetat de el problema va resultar ser significativament més gran del previst i la vulnerabilitat no va ser tan fàcil de solucionar.
La majoria d'errors d'Epic FAIL
El premi va ser atorgat a Microsoft per la vulnerabilitat (CVE-2020-0601) en la implementació de signatures digitals de corba el·líptica que permet la generació de claus basades en claus públiques. El problema va permetre la creació de certificats TLS falsificats per HTTPS i signatures digitals falses que Windows va verificar com fiables.
major assoliment
El premi es va atorgar per identificar una sèrie de vulnerabilitats (CVE-2019-5870, CVE-2019-5877, CVE-2019-10567) que permeten eludir tots els nivells de protecció de el navegador Chrome i executar codi en el sistema fora de l'entorn sandbox . Les vulnerabilitats es van utilitzar per demostrar un atac remot en dispositius Android per obtenir accés de root.
Finalment, si vols conèixer més a l'respecte sobre els nominats, pots consultar els detalls en el següent enllaç.