Yıllık Pwnie Ödülleri 2020'nin kazananları açıklandı, Katılımcıların bilgisayar güvenliği alanındaki en önemli güvenlik açıklarını ve saçma kusurları ortaya çıkardığı önemli bir olaydır.
Pwnie Ödülleri bilgi güvenliği alanında hem mükemmelliği hem de yetersizliği kabul ederler. Kazananlar, bilgi güvenliği topluluğundan toplanan adaylara göre güvenlik sektörü profesyonellerinden oluşan bir komite tarafından seçilir.
Ödüller her yıl Black Hat Güvenlik Konferansı'nda verilmektedir.. Pwnie Ödülleri, bilgisayar güvenliğinde Oscar ve Altın Ahududu Ödüllerinin karşılığı olarak kabul ediliyor.
En çok kazananlar
En iyi sunucu hatası
Teknik açıdan en karmaşık hatayı belirlediği ve kullandığı için ödüllendirildi ve bir ağ hizmetinde ilginç. Zafer, telnetd'de bir arabellek taşması yoluyla Fedora 2020 tabanlı ürün yazılımı ile gömülü cihazlara uzaktan saldırılara izin veren CVE-10188-31 güvenlik açığının tanımlanmasıyla ödüllendirildi.
İstemci yazılımındaki en iyi hata
Kazananlar, Samsung'un Android aygıt yazılımında, kullanıcı girişi olmadan MMS göndererek cihaza erişime izin veren bir güvenlik açığı tespit eden araştırmacılardı.
Daha iyi yükseltme güvenlik açığı
Zafer Apple iPhone'lar, iPad'ler, Apple Watch'lar ve Apple TV'nin açılışında bir güvenlik açığını belirlediği için ödüllendirildi A5, A6, A7, A8, A9, A10 ve A11 yongaları temel alınarak, ürün yazılımı jailbreak'ini önlemenize ve diğer işletim sistemlerinin yükünü düzenlemenize olanak tanır.
En iyi kripto saldırısı
Gerçek sistemler, protokoller ve şifreleme algoritmalarındaki en önemli güvenlik açıklarını belirlediği için verildi. Ödül, MS-NRPC protokolündeki Zerologon güvenlik açığını (CVE-2020-1472) ve bir saldırganın Windows veya Samba etki alanı denetleyicisinde yönetici hakları kazanmasına olanak tanıyan AES-CFB8 kripto algoritmasını belirlediği için verildi.
En yenilikçi araştırma
Ödül, RowHammer saldırılarının, dinamik rastgele erişim belleğinin (DRAM) ayrı bitlerinin içeriğini değiştirmek için modern DDR4 bellek yongalarına karşı kullanılabileceğini gösteren araştırmacılara verildi.
Üreticinin en zayıf yanıtı (Lamest Vendor Response)
Kendi Ürününüzdeki Güvenlik Açığı Raporuna En Uygunsuz Yanıt için Aday Gösterildi. Kazanan, 15 yıl önce ciddi olduğunu düşünmeyen ve qmail'deki güvenlik açığını (CVE-2005-1513) çözemeyen efsanevi Daniel J. Bernstein, çünkü kullanımı 64 GB'tan fazla sanal belleğe sahip 4 bit bir sistem gerektirdi. .
15 yıl boyunca, sunuculardaki 64 bit sistemler 32 bit sistemlerin yerini aldı, sağlanan bellek miktarı önemli ölçüde arttı ve sonuç olarak, varsayılan ayarlarda qmail ile sistemlere saldırmak için kullanılabilecek işlevsel bir açık yaratıldı.
En az tahmin edilen güvenlik açığı
Ödül güvenlik açıkları için verildi (CVE-2019-0151, CVE-2019-0152) Intel VTd / IOMMU mekanizmasında, Bellek korumasını atlamaya ve Sistem Yönetimi Modu (SMM) ve Güvenilir Yürütme Teknolojisi (TXT) düzeylerinde kod yürütmeye izin verir, örneğin, SMM'de rootkit değişimi için. Sorunun ciddiyetinin beklenenden önemli ölçüde daha yüksek olduğu ortaya çıktı ve güvenlik açığını düzeltmek o kadar kolay değildi.
Çoğu Epic FAIL hatası
Ödül, genel anahtarlara dayalı özel anahtarların oluşturulmasına izin veren eliptik eğri dijital imzaların uygulanmasındaki güvenlik açığı (CVE-2020-0601) için Microsoft'a verildi. Sorun, HTTPS için sahte TLS sertifikalarının ve Windows'un güvenilir olarak doğruladığı sahte dijital imzaların oluşturulmasına izin verdi.
En büyük başarı
Ödül, Chromé tarayıcısının tüm koruma düzeylerini atlamaya ve korumalı alan dışındaki sistemde kod çalıştırmaya olanak tanıyan bir dizi güvenlik açığını (CVE-2019-5870, CVE-2019-5877, CVE-2019-10567) belirlediği için verildi. çevre. Güvenlik açıkları, root erişimi elde etmek için Android cihazlara uzaktan saldırıyı göstermek için kullanıldı.
Son olarak, adaylar hakkında daha fazla bilgi edinmek istiyorsanız, ayrıntıları kontrol edebilirsiniz. Aşağıdaki bağlantıda.