Byli vyhlášeni vítězové výročních cen Pwnie Awards 2020, což je významná událost, při které účastníci odhalí nejvýznamnější zranitelnosti a absurdní nedostatky v oblasti počítačové bezpečnosti.
Ocenění Pwnie uznávají jak vynikající kvalitu, tak nekompetentnost v oblasti informační bezpečnosti. Vítězové jsou vybíráni komisí profesionálů v bezpečnostním průmyslu z nominací shromážděných od komunity informační bezpečnosti.
Ocenění se každoročně uděluje na konferenci Black Hat Security Conference. Ceny Pwnie jsou považovány za protějšek Oscarů a Zlatých malin v počítačové bezpečnosti.
Nejlepší vítězové
Nejlepší chyba serveru
Uděluje se za identifikaci a využití technicky nejsložitější chyby a zajímavé v síťové službě. Vítězství získala identifikace zranitelnosti CVE-2020-10188, která umožňuje vzdálené útoky na zařízení s vestavěným firmwarem založeným na Fedoře 31 prostřednictvím přetečení vyrovnávací paměti v telnetd.
Nejlepší chyba v klientském softwaru
Vítězi se stali vědci, kteří identifikovali zranitelnost firmwaru Samsung pro Android, který umožňuje přístup k zařízení zasíláním MMS bez vstupu uživatele.
Lepší zranitelnost při eskalaci
Vítězství byl oceněn za identifikaci zranitelnosti v bootromu Apple iPhone, iPadů, Apple Watch a Apple TV Na základě čipů A5, A6, A7, A8, A9, A10 a A11, které vám umožní vyhnout se útěku z firmwaru a organizovat zátěž jiných operačních systémů.
Nejlepší krypto útok
Uděluje se za identifikaci nejvýznamnějších zranitelností ve skutečných systémech, protokolech a šifrovacích algoritmech. Ocenění bylo uděleno za identifikaci zranitelnosti Zerologon (CVE-2020-1472) v protokolu MS-NRPC a kryptografického algoritmu AES-CFB8, který umožňuje útočníkovi získat práva správce na řadiči domény Windows nebo Samba.
Nejinovativnější výzkum
Ocenění dostávají vědci, kteří prokázali, že útoky RowHammer lze použít proti moderním paměťovým čipům DDR4 ke změně obsahu jednotlivých bitů dynamické paměti s náhodným přístupem (DRAM).
Nejslabší odezva výrobce (Lamest Vendor Response)
Nominováno za nejnevhodnější reakci na zprávu o zranitelnosti ve vašem vlastním produktu. Vítězem se stal mýtický Daniel J. Bernstein, který to před 15 lety nepovažoval za závažné a nevyřešil zranitelnost (CVE-2005-1513) v qmailu, protože jeho využití vyžadovalo 64bitový systém s více než 4 GB virtuálních paměť.
Po dobu 15 let 64bitové systémy na serverech nahradily 32bitové systémy, množství dodávané paměti se dramaticky zvýšilo a jako výsledek byl vytvořen funkční exploit, který mohl být použit k útoku na systémy s výchozím nastavením qmail.
Nejvíce podceňovaná zranitelnost
Ocenění bylo uděleno za chyby zabezpečení (CVE-2019-0151, CVE-2019-0152) na mechanismu Intel VTd / IOMMU, umožnění obejití ochrany paměti a provádění kódu na úrovních režimu správy systému (SMM) a Trusted Execution Technology (TXT), například pro nahrazení rootkitů v SMM. Ukázalo se, že závažnost problému byla výrazně větší, než se očekávalo, a zranitelnost nebylo tak snadné opravit.
Většina chyb Epic FAIL
Ocenění získala společnost Microsoft za chybu zabezpečení (CVE-2020-0601) při implementaci digitálních podpisů eliptické křivky, která umožňuje generování soukromých klíčů na základě veřejných klíčů. Problém umožnil vytvoření padělaných certifikátů TLS pro HTTPS a padělaných digitálních podpisů, které Windows ověřil jako důvěryhodné.
Největší úspěch
Ocenění bylo uděleno za identifikaci řady zranitelných míst (CVE-2019-5870, CVE-2019-5877, CVE-2019-10567), které umožňují obejít všechny úrovně ochrany prohlížeče Chromé a spustit kód v systému mimo prostředí izolovaného prostoru. . Tyto chyby zabezpečení byly použity k prokázání vzdáleného útoku na zařízení Android za účelem získání přístupu root.
Nakonec, pokud se chcete o nominovaných dozvědět více, můžete zkontrolovat podrobnosti Na následujícím odkazu.