Buvo paskelbti kasmetinių „Pwnie Awards 2020“ nugalėtojai, kuris yra ryškus įvykis, kurio dalyviai atskleidžia svarbiausius pažeidimus ir absurdiškus trūkumus kompiuterių saugumo srityje.
„Pwnie“ apdovanojimai jie pripažįsta tiek kompetenciją, tiek nekompetenciją informacijos saugumo srityje. Nugalėtojus renka saugumo pramonės profesionalų komitetas, remdamasis informacijos saugumo bendruomenės surinktomis nominacijomis.
Apdovanojimai kasmet teikiami „Black Hat“ saugumo konferencijoje. „Pwnie“ apdovanojimai yra laikomi „Oskarų“ ir „Auksinių aviečių“ apdovanojimų atitikmeniu kompiuterių saugumo srityje.
Geriausi nugalėtojai
Geriausia serverio klaida
Apdovanotas už techniškai sudėtingiausios klaidos nustatymą ir panaudojimą ir įdomu tinklo paslaugoje. Pergalė buvo suteikta identifikavus pažeidžiamumą CVE-2020-10188, kuris leidžia nuotoliniu būdu atakuoti įrenginius, įterptus programinės aparatinės įrangos pagrindu „Fedora 31“, per buferio perpildymą telnetd.
Geriausia kliento programinės įrangos klaida
Nugalėtojais tapo mokslininkai, kurie nustatė „Samsung“ „Android“ programinės aparatinės įrangos pažeidžiamumą, kuris leidžia pasiekti įrenginį siunčiant MMS be vartotojo įvesties.
Geresnis eskalacijos pažeidžiamumas
Pergalė buvo apdovanotas už „Apple iPhone“, „iPad“, „Apple Watches“ ir „Apple TV“ įkrovos pažeidžiamumo nustatymą Remiantis A5, A6, A7, A8, A9, A10 ir A11 mikroschemomis, leidžiančiomis išvengti programinės įrangos įstrigimo ir organizuoti kitų operacinių sistemų apkrovą.
Geriausias kripto išpuolis
Apdovanotas už svarbiausių realių sistemų, protokolų ir šifravimo algoritmų pažeidžiamumų nustatymą. Apdovanojimas buvo suteiktas už „Zerologon“ pažeidžiamumo (CVE-2020-1472) nustatymą MS-NRPC protokole ir AES-CFB8 šifravimo algoritmą, leidžiantį užpuolikui įgyti administratoriaus teises į „Windows“ arba „Samba“ domeno valdiklį.
Labiausiai novatoriški tyrimai
Apdovanojimas skiriamas tyrėjams, kurie parodė, kad „RowHammer“ atakas galima panaudoti prieš šiuolaikines DDR4 atminties mikroschemas, norint pakeisti atskirų dinaminės laisvosios kreipties atminties (DRAM) bitų turinį.
Silpniausias gamintojo atsakas („Lamest Vendor Response“)
Nominuotas už netinkamiausią atsaką į jūsų paties produkto pažeidžiamumo ataskaitą. Laimėtojas yra mitinis Danielis J. Bernsteinas, kuris prieš 15 metų to nelaikė rimtu ir neišsprendė „qmail“ pažeidžiamumo (CVE-2005-1513), nes norint jį išnaudoti, reikėjo 64 bitų sistemos, kurioje būtų daugiau nei 4 GB virtualių atmintis.
15 metų serverių 64 bitų sistemos išstūmė 32 bitų sistemas, tiekiamos atminties kiekis smarkiai išaugo ir dėl to buvo sukurtas funkcinis išnaudojimas, kurį galima naudoti atakuojant sistemas naudojant „qmail“ pagal numatytuosius nustatymus.
Labiausiai neįvertintas pažeidžiamumas
Apdovanojimas skirtas už pažeidžiamumą (CVE-2019-0151, CVE-2019-0152) apie „Intel VTd / IOMMU“ mechanizmą, Tai leidžia apeiti atminties apsaugą ir paleisti kodą sistemos valdymo režimo (SMM) ir patikimos vykdymo technologijos (TXT) lygmenimis, pavyzdžiui, norint pakeisti šakninius rinkinius SMM. Paaiškėjo, kad problema buvo žymiai didesnė nei tikėtasi, o pažeidžiamumą nebuvo taip lengva pašalinti.
Dauguma „Epic FAIL“ klaidų
Apdovanojimas buvo suteiktas „Microsoft“ už pažeidžiamumą (CVE-2020-0601) įgyvendinant elipsės formos kreivės skaitmeninius parašus, leidžiančius generuoti privačius raktus pagal viešuosius raktus. Leidimas leido sukurti suklastotus HTTPS TLS sertifikatus ir suklastotus skaitmeninius parašus, kuriuos „Windows“ patvirtino kaip patikimus.
Didžiausias pasiekimas
Apdovanojimas buvo suteiktas už pažeidimų serijos (CVE-2019-5870, CVE-2019-5877, CVE-2019-10567) nustatymą, leidžiančią apeiti visus „Chromé“ naršyklės apsaugos lygius ir vykdyti kodą sistemoje už smėlio dėžės ribų. aplinka. Pažeidimai buvo naudojami norint parodyti nuotolinę ataką „Android“ įrenginiuose, norint gauti root prieigą.
Galiausiai, jei norite sužinoti daugiau apie nominantus, galite patikrinti išsamią informaciją Šioje nuorodoje.