2020 Pwnie Awards의 수상자입니다

연례 Pwnie Awards 2020의 우승자가 발표되었습니다. 참가자들이 컴퓨터 보안 분야에서 가장 중요한 취약점과 어리석은 결함을 드러내는 뛰어난 행사입니다.

Pwnie 어워드 그들은 정보 보안 분야의 탁월함과 무능함을 모두 인정합니다. 수상자는 정보 보안 커뮤니티에서 수집 한 지명을 기반으로 보안 업계 전문가위원회에서 선정합니다.

Black Hat Security Conference에서 매년 상이 수여됩니다.. Pwnie Awards는 컴퓨터 보안 분야에서 Oscars 및 Golden Raspberry Awards에 상응하는 것으로 간주됩니다.

최고 우승자

최고의 서버 오류

기술적으로 가장 복잡한 버그를 식별하고 악용 한 공로상 수상 네트워크 서비스에서 흥미 롭습니다. 승리는 telnetd의 버퍼 오버 플로우를 통해 Fedora 2020 기반 펌웨어가 내장 된 장치에 대한 원격 공격을 허용하는 취약성 CVE-10188-31의 식별로 수여되었습니다.

클라이언트 소프트웨어의 최고의 버그

우승자는 사용자 입력없이 MMS를 전송하여 장치에 액세스 할 수있는 삼성의 Android 펌웨어의 취약점을 확인한 연구원들입니다.

더 나은 에스컬레이션 취약성

승리 Apple iPhones, iPads, Apple Watches 및 Apple TV의 부트롬에서 취약점을 식별하여 상을 받았습니다. A5, A6, A7, A8, A9, A10 및 A11 칩을 기반으로하여 펌웨어 탈옥을 방지하고 다른 운영 체제의로드를 구성 할 수 있습니다.

최고의 암호화 공격

실제 시스템, 프로토콜 및 암호화 알고리즘에서 가장 중요한 취약점을 식별 한 공로로 수여되었습니다. 이상은 MS-NRPC 프로토콜의 Zerologon 취약점 (CVE-2020-1472)과 공격자가 Windows 또는 Samba 도메인 컨트롤러에 대한 관리자 권한을 얻을 수있는 AES-CFB8 암호화 알고리즘을 식별 한 공로로 수여되었습니다.

가장 혁신적인 연구

이상은 RowHammer 공격이 DRAM (Dynamic Random Access Memory)의 개별 비트 내용을 변경하기 위해 최신 DDR4 메모리 칩에 대해 사용될 수 있음을 보여준 연구원에게 수여됩니다.

제조업체의 가장 약한 응답 (최소 공급 업체 응답)

귀사 제품의 취약점 보고서에 대한 가장 부적절한 대응으로 선정되었습니다. 승자는 신화 속 Daniel J. Bernstein입니다. 15 년 전 큐메일의 취약점 (CVE-2005-1513)을 심각하게 생각하지 않았고 큐메일의 취약점 (CVE-64-4)을 악용하려면 XNUMXGB 이상의 가상 메모리를 가진 XNUMX 비트 시스템이 필요했기 때문입니다. .

15 년 동안 서버의 64 비트 시스템이 32 비트 시스템을 대체하고 제공되는 메모리 양이 급격히 증가했으며 그 결과 기본 설정에서 큐메일을 사용하여 시스템을 공격하는 데 사용할 수있는 작업 익스플로잇이 생성되었습니다.

가장 과소 평가 된 취약점

취약점에 대한 상이 수여되었습니다 (CVE-2019-0151, CVE-2019-0152). Intel VTd / IOMMU 메커니즘에서 메모리 보호를 우회하고 SMM (System Management Mode) 및 TXT (Trusted Execution Technology) 수준에서 코드를 실행할 수 있습니다 (예 : SMM의 루트킷 교체). 문제의 심각도가 예상보다 훨씬 더 큰 것으로 나타 났으며 취약점을 해결하기가 쉽지 않았습니다.

대부분의 Epic FAIL 오류

이상은 공개 키를 기반으로 개인 키를 생성 할 수있는 타원 곡선 디지털 서명 구현의 취약점 (CVE-2020-0601)으로 Microsoft에 수여되었습니다. 이 문제로 인해 Windows에서 신뢰할 수있는 것으로 확인한 HTTPS 및 가짜 디지털 서명에 대한 스푸핑 된 TLS 인증서를 만들 수있었습니다.

가장 위대한 업적

이상은 Chromé 브라우저의 모든 보호 수준을 우회하고 샌드 박스 환경 외부의 시스템에서 코드를 실행할 수있는 일련의 취약성 (CVE-2019-5870, CVE-2019-5877, CVE-2019-10567)을 식별하여 수여되었습니다. . 이 취약점은 루트 액세스 권한을 얻기 위해 Android 장치에 대한 원격 공격을 보여주는 데 사용되었습니다.

마지막으로 후보자에 대해 더 알고 싶다면 세부 사항을 확인할 수 있습니다. 다음 링크에서.


코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자 : Miguel Ángel Gatón
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.