Proglašeni su pobjednici godišnjih nagrada Pwnie Awards 2020, što je istaknuti događaj u kojem sudionici otkrivaju najznačajnije ranjivosti i apsurdne nedostatke na polju računalne sigurnosti.
Nagrade Pwnie prepoznaju i izvrsnost i nesposobnost na polju informacijske sigurnosti. Pobjednike bira odbor stručnjaka iz sigurnosne industrije na temelju nominacija prikupljenih od zajednice za informacijsku sigurnost.
Nagrade se dodjeljuju svake godine na sigurnosnoj konferenciji Black Hat. Nagrade Pwnie smatraju se pandanima Oscarima i Zlatnim malinama u računalnoj sigurnosti.
Najbolji pobjednici
Najbolja pogreška poslužitelja
Dodjeljuje se za prepoznavanje i iskorištavanje najsloženije tehničke pogreške i zanimljiv u mrežnoj usluzi. Pobjeda je dodijeljena identifikacijom ranjivosti CVE-2020-10188, koja omogućuje daljinske napade na uređaje ugrađene u firmware temeljen na Fedori 31 putem preljeva međuspremnika u telnetd.
Najbolja greška u klijentskom softveru
Pobjednici su bili istraživači koji su identificirali ranjivost u Samsungovom firmwareu Android, koji omogućava pristup uređaju slanjem MMS-a bez korisničkog unosa.
Bolja ranjivost u eskalaciji
Pobjeda nagrađena je za prepoznavanje ranjivosti u bootromu Apple iPhones, iPads, Apple Watches i Apple TV Temelji se na čipovima A5, A6, A7, A8, A9, A10 i A11, što vam omogućuje izbjegavanje jailbreaka firmvera i organizaciju opterećenja drugih operativnih sustava.
Najbolji kripto napad
Dodijeljeno za prepoznavanje najznačajnijih ranjivosti u stvarnim sustavima, protokolima i algoritmima šifriranja. Nagrada je dodijeljena za identificiranje ranjivosti Zerologon (CVE-2020-1472) u protokolu MS-NRPC i kripto algoritmu AES-CFB8, koji napadaču omogućuje stjecanje administratorskih prava na kontroleru domene Windows ili Samba.
Najinovativnije istraživanje
Nagrada se dodjeljuje istraživačima koji su pokazali da se napadi RowHammer mogu koristiti protiv modernih DDR4 memorijskih čipova za izmjenu sadržaja pojedinih bitova dinamičke memorije s slučajnim pristupom (DRAM).
Najslabiji odgovor proizvođača (odgovor najmlađeg dobavljača)
Nominiran za najneprikladniji odgovor na izvješće o ranjivosti u vlastitom proizvodu. Pobjednik je mitski Daniel J. Bernstein, koji prije 15 godina to nije smatrao ozbiljnim i nije riješio ranjivost (CVE-2005-1513) u qmailu, budući da je za njegovu eksploataciju potreban 64-bitni sustav s više od 4 GB virtualne memorije .
Tijekom 15 godina 64-bitni sustavi na poslužiteljima istiskivali su 32-bitne sustave, količina isporučene memorije dramatično se povećala i kao rezultat toga stvoren je funkcionalni exploit koji se mogao koristiti za napad na sustave s qmail-om u zadanim postavkama.
Najviše podcijenjena ranjivost
Nagrada je dodijeljena za ranjivosti (CVE-2019-0151, CVE-2019-0152) na Intel VTd / IOMMU mehanizmu, To vam omogućuje zaobilaženje zaštite memorije i pokretanje koda na razini upravljanja sustavom (SMM) i Trusted Execution Technology (TXT), na primjer, za zamjenu rootkitova u SMM-u. Ispostavilo se da je ozbiljnost problema bila znatno veća nego što se očekivalo, a ranjivost nije bilo tako lako popraviti.
Većina pogrešaka Epic FAIL
Nagrada je dodijeljena Microsoftu za ranjivost (CVE-2020-0601) u implementaciji digitalnih potpisa s eliptičnom krivuljom koja omogućuje generiranje privatnih ključeva na temelju javnih ključeva. Izdanje je omogućilo stvaranje krivotvorenih TLS certifikata za HTTPS i krivotvorene digitalne potpise koje je Windows potvrdio kao pouzdane.
Najveće postignuće
Nagrada je dodijeljena za identificiranje niza ranjivosti (CVE-2019-5870, CVE-2019-5877, CVE-2019-10567) koje omogućuju zaobilaženje svih razina zaštite preglednika Chromé i izvršavanje koda na sustavu izvan okruženja pješčanika. . Ranjivosti su korištene za demonstraciju daljinskog napada na Android uređaje kako bi se dobio root pristup.
Napokon, ako želite znati više o nominiranima, možete provjeriti detalje U sljedećem linku.