De winnaars van de jaarlijkse Pwnie Awards 2020 zijn bekend gemaakt, dat is een prominente gebeurtenis, waarbij deelnemers de belangrijkste kwetsbaarheden en absurde tekortkomingen op het gebied van computerbeveiliging blootleggen.
De Pwnie Awards zij erkennen zowel excellentie als incompetentie op het gebied van informatiebeveiliging. Winnaars worden geselecteerd door een commissie van professionals uit de beveiligingsindustrie op basis van nominaties die zijn verzameld door de informatiebeveiligingsgemeenschap.
Awards worden jaarlijks uitgereikt tijdens de Black Hat Security Conference. De Pwnie Awards worden beschouwd als een tegenhanger van de Oscars en Golden Raspberry Awards op het gebied van computerbeveiliging.
Top winnaars
Beste serverfout
Toegekend voor het identificeren en exploiteren van de technisch meest complexe bug en interessant in een netwerkdienst. De overwinning werd toegekend door de identificatie van de kwetsbaarheid CVE-2020-10188, die aanvallen op afstand mogelijk maakt op apparaten die zijn ingebed met firmware op basis van Fedora 31 via een bufferoverloop in telnetd.
Beste bug in clientsoftware
De winnaars waren de onderzoekers die een kwetsbaarheid ontdekten in de Android-firmware van Samsung, die toegang tot het apparaat mogelijk maakt door mms te verzenden zonder tussenkomst van de gebruiker.
Betere kwetsbaarheid voor escalatie
De overwinning werd beloond voor het identificeren van een kwetsbaarheid in de bootrom van Apple iPhones, iPads, Apple Watches en Apple TV Gebaseerd op A5-, A6-, A7-, A8-, A9-, A10- en A11-chips, waardoor je firmware-jailbreak kunt voorkomen en de belasting van andere besturingssystemen kunt organiseren.
Beste crypto-aanval
Toegekend voor het identificeren van de belangrijkste kwetsbaarheden in echte systemen, protocollen en coderingsalgoritmen. De prijs werd uitgereikt voor het identificeren van de Zerologon-kwetsbaarheid (CVE-2020-1472) in het MS-NRPC-protocol en het AES-CFB8 crypto-algoritme, waarmee een aanvaller beheerdersrechten kan krijgen op een Windows- of Samba-domeincontroller.
Meest innovatieve onderzoek
De prijs wordt uitgereikt aan onderzoekers die hebben aangetoond dat RowHammer-aanvallen kunnen worden gebruikt tegen moderne DDR4-geheugenchips om de inhoud van individuele bits van dynamisch willekeurig toegankelijk geheugen (DRAM) te wijzigen.
De zwakste reactie van de fabrikant (Lamest Vendor Response)
Genomineerd voor meest ongepaste reactie op een kwetsbaarheidsrapport in uw eigen product. De winnaar is de mythische Daniel J. Bernstein, die het 15 jaar geleden niet serieus vond en de kwetsbaarheid (CVE-2005-1513) in qmail niet oploste, aangezien de exploitatie ervan een 64-bits systeem vereiste met meer dan 4 GB aan virtuele geheugen.
Gedurende 15 jaar hebben 64-bits systemen op servers 32-bits systemen verdrongen, de hoeveelheid geleverd geheugen enorm toegenomen, en als gevolg daarvan werd een functionele exploit gecreëerd die kon worden gebruikt om systemen aan te vallen met qmail in de standaardinstellingen.
Meest onderschatte kwetsbaarheid
De prijs werd uitgereikt voor kwetsbaarheden (CVE-2019-0151, CVE-2019-0152) op het Intel VTd / IOMMU-mechanisme, waardoor het omzeilen van geheugenbescherming en het uitvoeren van code op de System Management Mode (SMM) en Trusted Execution Technology (TXT) -niveaus, bijvoorbeeld voor het vervangen van rootkits in SMM. De ernst van het probleem bleek aanzienlijk groter te zijn dan verwacht en de kwetsbaarheid was niet zo eenvoudig op te lossen.
De meeste Epic FAIL-fouten
De prijs werd uitgereikt aan Microsoft voor kwetsbaarheid (CVE-2020-0601) bij de implementatie van digitale handtekeningen met elliptische curve waarmee privésleutels kunnen worden gegenereerd op basis van openbare sleutels. Door het probleem konden vervalste TLS-certificaten voor HTTPS en vervalste digitale handtekeningen worden gemaakt die door Windows als betrouwbaar werden geverifieerd.
Grootste prestatie
De onderscheiding werd toegekend voor het identificeren van een reeks kwetsbaarheden (CVE-2019-5870, CVE-2019-5877, CVE-2019-10567) die het mogelijk maken om alle beschermingsniveaus van de Chromé-browser te omzeilen en code op het systeem buiten de sandbox uit te voeren omgeving. De kwetsbaarheden werden gebruikt om een externe aanval op Android-apparaten aan te tonen om root-toegang te krijgen.
Als je ten slotte meer wilt weten over de genomineerden, kun je de details bekijken In de volgende link.