Voici les lauréats des Pwnie Awards 2020

Darkcrizt

Minutes 4

Les lauréats des Pwnie Awards annuels 2020 ont été annoncés, qui est un événement de premier plan, dans lequel les participants révèlent les vulnérabilités les plus importantes et les failles absurdes dans le domaine de la sécurité informatique.

Les prix Pwnie ils reconnaissent à la fois l'excellence et l'incompétence dans le domaine de la sécurité de l'information. Les gagnants sont sélectionnés par un comité de professionnels de l'industrie de la sécurité à partir de candidatures recueillies auprès de la communauté de la sécurité de l'information.

Les prix sont remis chaque année à la Black Hat Security Conference. Les Pwnie Awards sont considérés comme l'équivalent des Oscars et des Golden Raspberry Awards en matière de sécurité informatique.

Top gagnants

Meilleure erreur de serveur

Décerné pour avoir identifié et exploité le bogue le plus complexe techniquement et intéressant dans un service réseau. La victoire a été attribuée par l'identification de la vulnérabilité CVE-2020-10188, qui permet des attaques à distance sur des appareils embarqués avec un firmware basé sur Fedora 31 via un buffer overflow dans telnetd.

Meilleur bug dans le logiciel client

Les gagnants sont des chercheurs qui ont identifié une vulnérabilité dans le micrologiciel Android de Samsung, qui permet d'accéder à l'appareil en envoyant des MMS sans intervention de l'utilisateur.

Meilleure vulnérabilité d'escalade

La victoire a été récompensé pour avoir identifié une vulnérabilité dans le bootrom des iPhone, iPad, Apple Watch et Apple TV d'Apple Basé sur des puces A5, A6, A7, A8, A9, A10 et A11, vous permettant d'éviter le jailbreak du firmware et d'organiser la charge des autres systèmes d'exploitation.

Meilleure attaque crypto

Décerné pour l'identification des vulnérabilités les plus significatives dans les systèmes réels, les protocoles et les algorithmes de cryptage. Le prix a été décerné pour l'identification de la vulnérabilité Zerologon (CVE-2020-1472) dans le protocole MS-NRPC et l'algorithme cryptographique AES-CFB8, qui permet à un attaquant d'obtenir des droits d'administrateur sur un contrôleur de domaine Windows ou Samba.

Recherche la plus innovante

Le prix est décerné aux chercheurs qui ont montré que les attaques RowHammer peuvent être utilisées contre des puces de mémoire DDR4 modernes pour modifier le contenu de bits individuels de la mémoire vive dynamique (DRAM).

La réponse la plus faible du fabricant (Lamest Vendor Response)

Nominé pour la réponse la plus inappropriée à un rapport de vulnérabilité dans votre propre produit. Le gagnant est le mythique Daniel J.Bernstein, qui il y a 15 ans ne le considérait pas comme sérieux et ne résolvait pas la vulnérabilité (CVE-2005-1513) de qmail, puisque son exploitation nécessitait un système 64 bits avec plus de 4 Go de virtuel la mémoire.

Pendant 15 ans, les systèmes 64 bits sur serveurs ont supplanté les systèmes 32 bits, la quantité de mémoire fournie a considérablement augmenté, et en conséquence, un exploit fonctionnel a été créé qui pourrait être utilisé pour attaquer les systèmes avec qmail dans les paramètres par défaut.

Vulnérabilité la plus sous-estimée

Le prix a été décerné pour des vulnérabilités (CVE-2019-0151, CVE-2019-0152) sur le mécanisme Intel VTd / IOMMU, permettant de contourner la protection de la mémoire et d'exécuter le code aux niveaux du mode de gestion du système (SMM) et de la technologie d'exécution de confiance (TXT), par exemple pour le remplacement de rootkit dans SMM. La gravité du problème s'est avérée nettement plus importante que prévu et la vulnérabilité n'a pas été aussi facile à corriger.

La plupart des erreurs Epic FAIL

Le prix a été décerné à Microsoft pour la vulnérabilité (CVE-2020-0601) dans la mise en œuvre de signatures numériques à courbe elliptique qui permet la génération de clés privées basées sur des clés publiques. Le problème a permis la création de certificats TLS falsifiés pour HTTPS et de signatures numériques falsifiées que Windows a vérifiées comme fiables.

La plus grande réalisation

Le prix a été décerné pour l'identification d'une série de vulnérabilités (CVE-2019-5870, CVE-2019-5877, CVE-2019-10567) qui permettent de contourner tous les niveaux de protection du navigateur Chromé et d'exécuter du code sur le système en dehors du bac à sable. environnement. Les vulnérabilités ont été utilisées pour démontrer une attaque à distance sur des appareils Android pour obtenir un accès root.

Enfin, si vous souhaitez en savoir plus sur les nominés, vous pouvez vérifier les détails dans le lien suivant.


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.