ประกาศรายชื่อผู้ได้รับรางวัล Pwnie Awards ประจำปี 2020 ซึ่งเป็นเหตุการณ์ที่โดดเด่นซึ่งผู้เข้าร่วมได้เปิดเผยช่องโหว่ที่สำคัญที่สุดและข้อบกพร่องที่ไร้สาระในด้านความปลอดภัยของคอมพิวเตอร์
รางวัล Pwnie ตระหนักถึงความเป็นเลิศและความไร้ความสามารถในด้านความปลอดภัยของข้อมูล ผู้ชนะจะได้รับการคัดเลือกโดยคณะกรรมการผู้เชี่ยวชาญในอุตสาหกรรมความปลอดภัยตามการเสนอชื่อที่รวบรวมจากชุมชนความปลอดภัยของข้อมูล
มีการมอบรางวัลเป็นประจำทุกปีในการประชุม Black Hat Security Conference. รางวัล Pwnie ถือเป็นรางวัลที่ได้รับรางวัลออสการ์และรางวัล Golden Raspberry Awards ในด้านความปลอดภัยของคอมพิวเตอร์
ผู้ชนะสูงสุด
ข้อผิดพลาดของเซิร์ฟเวอร์ที่ดีที่สุด
ได้รับรางวัลสำหรับการระบุและใช้ประโยชน์จากจุดบกพร่องที่ซับซ้อนทางเทคนิคมากที่สุด และน่าสนใจในบริการเครือข่าย ชัยชนะได้รับจากการระบุช่องโหว่ CVE-2020-10188 ซึ่งช่วยให้สามารถโจมตีจากระยะไกลบนอุปกรณ์ที่ฝังด้วยเฟิร์มแวร์ที่ใช้ Fedora 31 ผ่านบัฟเฟอร์ล้นใน telnetd
ข้อบกพร่องที่ดีที่สุดในซอฟต์แวร์ไคลเอ็นต์
ผู้ชนะคือนักวิจัยที่ระบุช่องโหว่ในเฟิร์มแวร์ Android ของ Samsung ซึ่งอนุญาตให้เข้าถึงอุปกรณ์ได้โดยการส่ง MMS โดยไม่ต้องป้อนข้อมูลจากผู้ใช้
ช่องโหว่ในการยกระดับที่ดีขึ้น
ชัยชนะ ได้รับรางวัลสำหรับการระบุช่องโหว่ในการบูตของ Apple iPhones, iPads, Apple Watch และ Apple TV ใช้ชิป A5, A6, A7, A8, A9, A10 และ A11 ช่วยให้คุณหลีกเลี่ยงการเจลเบรคเฟิร์มแวร์และจัดระเบียบโหลดของระบบปฏิบัติการอื่น ๆ
การโจมตี crypto ที่ดีที่สุด
ได้รับรางวัลสำหรับการระบุช่องโหว่ที่สำคัญที่สุดในระบบจริงโปรโตคอลและอัลกอริทึมการเข้ารหัส รางวัลนี้มอบให้สำหรับการระบุช่องโหว่ของ Zerologon (CVE-2020-1472) ในโปรโตคอล MS-NRPC และอัลกอริทึมการเข้ารหัส AES-CFB8 ซึ่งช่วยให้ผู้โจมตีได้รับสิทธิ์ของผู้ดูแลระบบบนตัวควบคุมโดเมน Windows หรือ Samba
การวิจัยที่เป็นนวัตกรรมใหม่ที่สุด
รางวัลนี้มอบให้กับนักวิจัยที่แสดงให้เห็นว่าการโจมตี RowHammer สามารถใช้กับชิปหน่วยความจำ DDR4 ที่ทันสมัยเพื่อปรับเปลี่ยนเนื้อหาของหน่วยความจำเข้าถึงโดยสุ่มแบบไดนามิก (DRAM) แต่ละบิต
การตอบสนองที่อ่อนแอที่สุดของผู้ผลิต (การตอบสนองของผู้ขายที่ไม่สุภาพ)
ได้รับการเสนอชื่อเข้าชิงการตอบสนองต่อรายงานช่องโหว่ที่ไม่เหมาะสมที่สุดในผลิตภัณฑ์ของคุณเอง ผู้ชนะคือ Daniel J. Bernstein ในตำนานผู้ซึ่งเมื่อ 15 ปีก่อนไม่ได้คิดว่ามันร้ายแรงและไม่ได้แก้ไขช่องโหว่ (CVE-2005-1513) ใน qmail เนื่องจากการแสวงหาผลประโยชน์ต้องใช้ระบบ 64 บิตที่มี virtual มากกว่า 4GB หน่วยความจำ.
เป็นเวลา 15 ปีระบบ 64 บิตบนเซิร์ฟเวอร์แทนที่ระบบ 32 บิตจำนวนหน่วยความจำที่ให้มาเพิ่มขึ้นอย่างมากและด้วยเหตุนี้จึงมีการสร้างช่องโหว่ที่ใช้งานได้เพื่อโจมตีระบบด้วย qmail ในการตั้งค่าเริ่มต้น
ช่องโหว่ที่ประเมินต่ำที่สุด
มีการมอบรางวัลสำหรับช่องโหว่ (CVE-2019-0151, CVE-2019-0152) บนกลไก Intel VTd / IOMMU สิ่งนี้ช่วยให้คุณข้ามการป้องกันหน่วยความจำและรันโค้ดที่ระดับ System Management Mode (SMM) และ Trusted Execution Technology (TXT) ตัวอย่างเช่นเพื่อแทนที่รูทคิทใน SMM ความรุนแรงของปัญหานั้นสูงกว่าที่คาดการณ์ไว้อย่างมากและช่องโหว่นั้นก็แก้ไขได้ไม่ยาก
ข้อผิดพลาด Epic FAIL ส่วนใหญ่
รางวัลนี้มอบให้กับ Microsoft สำหรับช่องโหว่ (CVE-2020-0601) ในการใช้ลายเซ็นดิจิทัลโค้งวงรีที่อนุญาตให้สร้างคีย์ส่วนตัวตามคีย์สาธารณะ ปัญหานี้อนุญาตให้สร้างใบรับรอง TLS ปลอมสำหรับ HTTPS และลายเซ็นดิจิทัลปลอมที่ Windows ตรวจสอบแล้วว่าน่าเชื่อถือ
ความสำเร็จที่ยิ่งใหญ่ที่สุด
รางวัลนี้มอบให้สำหรับการระบุช่องโหว่ต่างๆ (CVE-2019-5870, CVE-2019-5877, CVE-2019-10567) ที่อนุญาตให้ข้ามการป้องกันทุกระดับของเบราว์เซอร์Chroméและดำเนินการโค้ดบนระบบนอกแซนด์บ็อกซ์ สิ่งแวดล้อม. ช่องโหว่นี้ถูกใช้เพื่อแสดงการโจมตีระยะไกลบนอุปกรณ์ Android เพื่อเข้าถึงรูท
สุดท้ายหากคุณต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับผู้ได้รับการเสนอชื่อคุณสามารถตรวจสอบรายละเอียดได้ ในลิงค์ต่อไปนี้.