Kihirdették az éves Pwnie Awards 2020 nyerteseit, amely kiemelkedő esemény, amelyben a résztvevők feltárják a számítógép-biztonság terén a legjelentősebb sebezhetőségeket és abszurd hibákat.
A Pwnie-díjak elismerik a kiválóságot és az alkalmatlanságot is az információbiztonság területén. A győzteseket a biztonsági ágazat szakembereiből álló bizottság választja ki az információbiztonsági közösségtől összegyűjtött jelölések alapján.
A díjakat évente adják át a Black Hat biztonsági konferencián. A Pwnie-díjakat az Oscar-díjak és az Arany Málna-díjak megfelelőjének tekintik a számítógépes biztonság terén.
Legjobb nyertesek
Legjobb szerverhiba
Díj a műszakilag legösszetettebb hiba azonosításáért és kihasználásáért és érdekes egy hálózati szolgáltatásban. A győzelmet a CVE-2020-10188 sérülékenység azonosítása érte el, amely távoli támadásokat tesz lehetővé a Fedora 31-en alapuló firmware-be ágyazott eszközök felé a telnetd puffertúlcsordulásán keresztül.
A legjobb hiba az ügyfélszoftverben
A nyertesek azok a kutatók lettek, akik a Samsung Android firmware-jében egy sebezhetőséget azonosítottak, amely lehetővé teszi az eszközhöz való hozzáférést azáltal, hogy MMS-t küldünk felhasználói bemenet nélkül.
Jobb eszkalációs sérülékenység
A győzelem díjat kapott az Apple iPhone, az iPad, az Apple Watches és az Apple TV indítómotorjának sérülékenységének azonosításáért Az A5, A6, A7, A8, A9, A10 és A11 chipeken alapul, amely lehetővé teszi a firmware jailbreak elkerülését és más operációs rendszerek terhelésének megszervezését.
A legjobb kriptotámadás
Díj a valós rendszerek, protokollok és titkosítási algoritmusok legjelentősebb sérülékenységeinek azonosításáért. A díjat a Zerologon sebezhetőség (CVE-2020-1472) azonosításáért kapták az MS-NRPC protokollban és az AES-CFB8 kriptográfiai algoritmusban, amely lehetővé teszi a támadó számára, hogy rendszergazdai jogokat szerezzen egy Windows vagy Samba tartományvezérlőn.
A leginnovatívabb kutatás
A díjat olyan kutatók kapják, akik bebizonyították, hogy a RowHammer támadások felhasználhatók a modern DDR4 memóriachipek ellen a dinamikus véletlen hozzáférésű memória (DRAM) egyes bitjeinek tartalmának megváltoztatására.
A gyártó leggyengébb válasza (Lamest Vendor Response)
Jelölték a legmegfelelőbb válaszként a saját termék biztonsági résének jelentésére. A nyertes a mitikus Daniel J. Bernstein, aki 15 évvel ezelőtt nem tartotta komolynak, és nem oldotta meg a sebezhetőséget (CVE-2005-1513) a qmailben, mivel annak kihasználásához 64 bites rendszerre volt szükség, több mint 4 GB virtuális memóriával .
15 éven át a kiszolgálók 64 bites rendszerei kiszorították a 32 bites rendszereket, a szállított memória mennyisége drámai módon megnőtt, és ennek eredményeként létrejött egy funkcionális kihasználás, amelyet fel lehet használni a rendszerek támadására alapértelmezett beállításokkal.
A legtöbb alábecsülte a sebezhetőséget
A díjat sérülékenységekért ítélték oda (CVE-2019-0151, CVE-2019-0152) az Intel VTd / IOMMU mechanizmuson, a memóriavédelem megkerülésének és a kód futtatásának lehetővé tétele a Rendszerkezelési mód (SMM) és a Megbízható végrehajtási technológia (TXT) szintjén, például a rootkit cseréjéhez az SMM-ben. A probléma súlyossága a vártnál lényegesen nagyobbnak bizonyult, és a sebezhetőséget nem volt olyan könnyű orvosolni.
A legtöbb Epic FAIL hiba
A díjat a Microsoft kapta sebezhetőségéért (CVE-2020-0601) az ellipszis görbe digitális aláírások megvalósításában, amely lehetővé teszi a magánkulcsok nyilvános kulcsokon alapuló előállítását. A probléma lehetővé tette hamis TLS-tanúsítványok létrehozását HTTPS-hez és hamis digitális aláírásokhoz, amelyeket a Windows megbízhatónak igazolt.
A legnagyobb eredmény
A díjat egy sor sebezhetőség (CVE-2019-5870, CVE-2019-5877, CVE-2019-10567) azonosításáért kapták, amelyek lehetővé teszik a Chromé böngésző minden szintű védelmének megkerülését és a rendszer kódjának futtatását a homokozó környezeten kívül. . A biztonsági réseket arra használták, hogy távoli támadást mutassanak be Android-eszközökre a root hozzáférés megszerzése érdekében.
Végül, ha többet szeretne tudni a jelöltekről, ellenőrizheti a részleteket A következő linken.