Vinderne af de årlige Pwnie Awards 2020 blev annonceret, hvilket er en fremtrædende begivenhed, hvor deltagerne afslører de mest betydningsfulde sårbarheder og absurde mangler inden for computersikkerhed.
Pwnie Awards de anerkender både ekspertise og inkompetence inden for informationssikkerhed. Vinderne vælges af et udvalg af fagfolk inden for sikkerhedsbranchen fra nomineringer indsamlet fra informationssikkerhedssamfundet.
Præmier uddeles årligt på Black Hat Security Conference. Pwnie Awards betragtes som en modstykke til Oscars og Golden Raspberry Awards inden for computersikkerhed.
Topvindere
Bedste serverfejl
Tildelt for at identificere og udnytte den mest teknisk komplekse fejl og interessant i en netværkstjeneste. Sejren blev tildelt ved identifikation af sårbarheden CVE-2020-10188, som tillader fjernangreb på enheder indlejret med firmware baseret på Fedora 31 gennem et bufferoverløb i telnetd.
Bedste fejl i klientsoftware
Vinderne var forskere, der identificerede en sårbarhed i Samsungs Android-firmware, som giver adgang til enheden ved at sende MMS uden brugerinput.
Bedre eskaleringssårbarhed
Sejren blev tildelt for at identificere en sårbarhed i bagagerummet til Apple iPhones, iPads, Apple Watches og Apple TV Baseret på A5, A6, A7, A8, A9, A10 og A11 chips, så du kan undgå firmware jailbreak og organisere belastningen på andre operativsystemer.
Bedste kryptoangreb
Tildelt for at identificere de mest betydningsfulde sårbarheder i ægte systemer, protokoller og krypteringsalgoritmer. Prisen blev givet for at identificere Zerologon-sårbarheden (CVE-2020-1472) i MS-NRPC-protokollen og AES-CFB8-kryptealgoritmen, som giver en angriber mulighed for at få administratorrettigheder på en Windows- eller Samba-domænecontroller.
Mest innovative forskning
Prisen gives til forskere, der har vist, at RowHammer-angreb kan bruges mod moderne DDR4-hukommelseschips til at ændre indholdet af individuelle bits i DRAM (Dynamic Random Access Memory).
Producentens svageste respons (Lamest Vendor Response)
Nomineret til mest upassende svar på en sårbarhedsrapport i dit eget produkt. Vinderen er den mytiske Daniel J. Bernstein, der for 15 år siden ikke betragtede det som alvorligt og ikke løste sårbarheden (CVE-2005-1513) i qmail, da udnyttelsen krævede et 64-bit system med mere end 4 GB virtuel hukommelse .
I 15 år erstattede 64-bit-systemer på servere 32-bit-systemer, mængden af leveret hukommelse steg dramatisk, og som et resultat blev der oprettet en funktionel udnyttelse, der kunne bruges til at angribe systemer med qmail i standardindstillinger.
Mest undervurderet sårbarhed
Prisen blev givet for sårbarheder (CVE-2019-0151, CVE-2019-0152) på Intel VTd / IOMMU-mekanismen, tillader omgåelse af hukommelsesbeskyttelse og udførelse af kode i systemadministrationsfunktionen (SMM) og Trusted Execution Technology (TXT) niveauer, for eksempel til rootkit-udskiftning i SMM. Problemets sværhedsgrad viste sig at være væsentligt større end forventet, og sårbarheden var ikke så let at rette.
De fleste Epic FAIL-fejl
Prisen blev tildelt Microsoft for sårbarheden (CVE-2020-0601) i implementeringen af elliptiske kurve digitale signaturer, der tillader generering af private nøgler baseret på offentlige nøgler. Problemet tillod oprettelse af forfalskede TLS-certifikater til HTTPS og forfalskede digitale signaturer, som Windows bekræftede som pålidelige.
Største præstation
Prisen blev tildelt for at identificere en række sårbarheder (CVE-2019-5870, CVE-2019-5877, CVE-2019-10567), der gør det muligt at omgå alle niveauer af beskyttelse af Chromé-browseren og udføre kode på systemet uden for sandkassemiljøet . Sårbarhederne blev brugt til at demonstrere et fjernangreb på Android-enheder for at få rodadgang.
Endelig, hvis du vil vide mere om de nominerede, kan du kontrollere detaljerne I det følgende link.