Se dieron a conocer los ganadores de los premios anuales Pwnie Awards 2020, el cual es un evento destacado, en el cual los participantes dan a conocer las vulnerabilidades más significativas y fallas absurdas en el campo de la seguridad informática.
Los premios Pwnie reconocen tanto la excelencia como la incompetencia en el campo de la seguridad de la información. Los ganadores son seleccionados por un comité de profesionales de la industria de la seguridad a partir de nominaciones recopiladas de la comunidad de seguridad de la información.
Los premios se entregan anualmente en la Black Hat Security Conference. Los premios Pwnie se consideran como un homólogo a los premios Oscar y Golden Raspberry en seguridad informática.
Principales ganadores
Mejor error del servidor
Otorgado por identificar y explotar el error técnicamente más complejo e interesante en un servicio de red. La victoria fue otorgada por la identificación de la vulnerabilidad CVE-2020-10188, que permite ataques remotos a dispositivos embebidos con firmware basado en Fedora 31 a través de un buffer overflow en telnetd.
Mejor error en software cliente
Los ganadores fueron los investigadores que identificaron una vulnerabilidad en el firmware de Android de Samsung, que permite el acceso al dispositivo enviando MMS sin la participación del usuario.
Mejor vulnerabilidad de escalada
La victoria fue otorgada por identificar una vulnerabilidad en el bootrom de Apple iPhones, iPads, Apple Watches y Apple TV basados en chips A5, A6, A7, A8, A9, A10 y A11, lo que le permite evitar el jailbreak del firmware y organizar la carga de otros sistemas operativos.
Mejor ataque criptográfico
Otorgado por identificar las vulnerabilidades más significativas en sistemas, protocolos y algoritmos de cifrado reales. El premio se otorgó por identificar la vulnerabilidad Zerologon (CVE-2020-1472) en el protocolo MS-NRPC y el criptoalgoritmo AES-CFB8, que permite a un atacante obtener derechos de administrador en un controlador de dominio de Windows o Samba.
Investigación más innovadora
El premio se otorga a los investigadores que han demostrado que los ataques RowHammer se pueden utilizar contra los chips de memoria DDR4 modernos para alterar el contenido de los bits individuales de la memoria dinámica de acceso aleatorio (DRAM).
La respuesta más débil del fabricante (Lamest Vendor Response)
Nominado por la respuesta más inadecuada a un informe de vulnerabilidad en su propio producto. El ganador es el mítico Daniel J. Bernstein, quien hace 15 años no lo consideró grave y no solucionó la vulnerabilidad (CVE-2005-1513) en qmail, ya que su explotación requería un sistema de 64 bits con más de 4GB de memoria virtual.
Durante 15 años, los sistemas de 64 bits en servidores suplantaron a los de 32 bits, la cantidad de memoria suministrada aumentó drásticamente y, como resultado, se creó un exploit funcional que podría usarse para atacar sistemas con qmail en la configuración predeterminada.
Vulnerabilidad más subestimada
El premio se otorgó por vulnerabilidades (CVE-2019-0151, CVE-2019-0152) en el mecanismo Intel VTd/IOMMU, lo que permite omitir la protección de la memoria y ejecutar código en los niveles de System Management Mode (SMM) y Trusted Execution Technology (TXT), por ejemplo, para sustitución de rootkits en SMM. La gravedad del problema resultó ser significativamente mayor de lo previsto y la vulnerabilidad no fue tan fácil de solucionar.
La mayoría de errores de Epic FAIL
El premio fue otorgado a Microsoft por la vulnerabilidad (CVE-2020-0601) en la implementación de firmas digitales de curva elíptica que permite la generación de claves privadas basadas en claves públicas. El problema permitió la creación de certificados TLS falsificados para HTTPS y firmas digitales falsas que Windows verificó como confiables.
Mayor logro
El premio se otorgó por identificar una serie de vulnerabilidades (CVE-2019-5870, CVE-2019-5877, CVE-2019-10567) que permiten eludir todos los niveles de protección del navegador Chromé y ejecutar código en el sistema fuera del entorno sandbox. Las vulnerabilidades se utilizaron para demostrar un ataque remoto en dispositivos Android para obtener acceso de root.
Finalmente, si quieres conocer más al respecto sobre los nominados, puedes consultar los detalles en el siguiente enlace.