Razglašeni so zmagovalci letnih nagrad Pwnie Awards 2020, kar je pomemben dogodek, v katerem udeleženci razkrijejo najpomembnejše ranljivosti in absurdne napake na področju računalniške varnosti.
Nagrade Pwnie priznavajo tako odličnost kot nesposobnost na področju informacijske varnosti. Zmagovalce izbere odbor strokovnjakov iz varnostne industrije na podlagi nominacij, zbranih iz skupnosti informacijske varnosti.
Nagrade vsako leto podelijo na varnostni konferenci Black Hat. Nagrade Pwnie veljajo za nasprotnike oskarjev in nagrad zlata malina na področju računalniške varnosti.
Vrhunski zmagovalci
Najboljša napaka strežnika
Podeljena za prepoznavanje in izkoriščanje najbolj tehnično zapletene napake in zanimiva v omrežni storitvi. Zmago je podelila identifikacija ranljivosti CVE-2020-10188, ki omogoča oddaljene napade na naprave, vdelane v vdelano programsko opremo, ki temelji na Fedori 31, preko prelivanja medpomnilnika v telnetd.
Najboljša napaka v odjemalski programski opremi
Zmagali so raziskovalci, ki so prepoznali ranljivost v Samsungovi vdelani programski opremi Android, ki omogoča dostop do naprave s pošiljanjem MMS brez vnosa uporabnika.
Boljša stopnjevalna ranljivost
Zmaga je bil nagrajen za prepoznavanje ranljivosti v zagonskem sistemu Apple iPhones, iPad, Apple Watches in Apple TV Na podlagi čipov A5, A6, A7, A8, A9, A10 in A11 vam omogoča, da se izognete zaporu vdelane programske opreme in organizirate obremenitev drugih operacijskih sistemov.
Najboljši kripto napad
Podeljena za prepoznavanje najpomembnejših ranljivosti v resničnih sistemih, protokolih in algoritmih šifriranja. Nagrada je bila podeljena za prepoznavanje ranljivosti Zerologon (CVE-2020-1472) v protokolu MS-NRPC in kripto algoritmu AES-CFB8, ki napadalcu omogoča, da pridobi skrbniške pravice na krmilniku domene Windows ali Samba.
Najbolj inovativne raziskave
Nagrado prejmejo raziskovalci, ki so pokazali, da je napade RowHammer mogoče uporabiti proti sodobnim pomnilniškim čipom DDR4 za spreminjanje vsebine posameznih bitov dinamičnega pomnilnika z naključnim dostopom (DRAM).
Najšibkejši odziv proizvajalca (Lamest Vendor Response)
Nominiran za najbolj neprimeren odgovor na poročilo o ranljivosti v svojem izdelku. Zmagovalec je mitski Daniel J. Bernstein, ki pred 15 leti tega ni imel za resnega in ranljivosti (CVE-2005-1513) ni rešil v qmailu, saj je za njegovo izkoriščanje potreben 64-bitni sistem z več kot 4 GB virtualnega pomnilnika.
Petnajstletni 15-bitni sistemi na strežnikih so izpodrinili 64-bitne sisteme, količina dobavljenega pomnilnika se je močno povečala in posledično je bil ustvarjen funkcijski podvig, ki bi ga lahko uporabili za napad na sisteme s qmailom v privzetih nastavitvah.
Najbolj podcenjena ranljivost
Nagrada je bila podeljena za ranljivosti (CVE-2019-0151, CVE-2019-0152) o mehanizmu Intel VTd / IOMMU, omogoča obiti zaščito pomnilnika in izvajanje kode na nivojih System Management Mode (SMM) in Trusted Execution Technology (TXT), na primer za zamenjavo rootkit-a v SMM. Resnost težave se je izkazala za bistveno večjo od pričakovane in ranljivosti ni bilo tako enostavno odpraviti.
Večina epskih napak FAIL
Nagrado je prejel Microsoft za ranljivost (CVE-2020-0601) pri izvajanju digitalnih podpisov eliptične krivulje, ki omogoča generiranje zasebnih ključev na podlagi javnih ključev. Izdaja je omogočala ustvarjanje ponarejenih potrdil TLS za HTTPS in ponarejene digitalne podpise, ki jih je Windows preveril kot zanesljive.
Največji dosežek
Nagrada je bila podeljena za prepoznavanje vrste ranljivosti (CVE-2019-5870, CVE-2019-5877, CVE-2019-10567), ki omogočajo zaobiti vse ravni zaščite brskalnika Chromé in izvajanje kode v sistemu zunaj peskovnika okolje. Ranljivosti so bile uporabljene za prikaz oddaljenega napada na naprave Android za pridobitev korenskega dostopa.
Če želite izvedeti več o nominirancih, lahko preverite podrobnosti V naslednji povezavi.