Những người chiến thắng giải thưởng Pwnie thường niên 2020 đã được công bố, là một sự kiện nổi bật, trong đó những người tham gia tiết lộ những lỗ hổng quan trọng nhất và những sai sót ngớ ngẩn trong lĩnh vực bảo mật máy tính.
Giải thưởng Pwnie họ thừa nhận cả sự xuất sắc và kém năng lực trong lĩnh vực an toàn thông tin. Người chiến thắng được lựa chọn bởi một ủy ban gồm các chuyên gia trong ngành bảo mật từ các đề cử được thu thập từ cộng đồng bảo mật thông tin.
Giải thưởng được trao hàng năm tại Hội nghị An ninh Mũ đen. Giải thưởng Pwnie được coi là đối trọng của giải Oscar và Giải Mâm xôi vàng về bảo mật máy tính.
Người chiến thắng hàng đầu
Lỗi máy chủ tốt nhất
Được trao giải cho việc xác định và khai thác lỗi kỹ thuật phức tạp nhất và thú vị trong một dịch vụ mạng. Chiến thắng được trao bằng việc xác định lỗ hổng CVE-2020-10188, cho phép tấn công từ xa vào các thiết bị được nhúng với phần sụn dựa trên Fedora 31 thông qua lỗi tràn bộ đệm trong telnetd.
Lỗi tốt nhất trong phần mềm máy khách
Người chiến thắng là các nhà nghiên cứu đã xác định được lỗ hổng trong phần sụn Android của Samsung, cho phép truy cập vào thiết bị bằng cách gửi MMS mà không cần người dùng nhập.
Lỗ hổng bảo mật tốt hơn
Chiến thắng được trao giải vì xác định được lỗ hổng trong bootrom của Apple iPhone, iPad, Apple Watches và Apple TV Dựa trên các chip A5, A6, A7, A8, A9, A10 và A11, cho phép bạn tránh bẻ khóa phần sụn và tổ chức tải các hệ điều hành khác.
Cuộc tấn công tiền điện tử tốt nhất
Được trao giải cho việc xác định các lỗ hổng bảo mật quan trọng nhất trong các hệ thống, giao thức và thuật toán mã hóa thực. Giải thưởng được trao cho việc xác định lỗ hổng Zerologon (CVE-2020-1472) trong giao thức MS-NRPC và thuật toán mật mã AES-CFB8, cho phép kẻ tấn công giành được quyền quản trị viên trên bộ điều khiển miền Windows hoặc Samba.
Nghiên cứu sáng tạo nhất
Giải thưởng được trao cho các nhà nghiên cứu đã chỉ ra rằng các cuộc tấn công RowHammer có thể được sử dụng chống lại các chip bộ nhớ DDR4 hiện đại để thay đổi nội dung của các bit riêng lẻ của bộ nhớ truy cập ngẫu nhiên động (DRAM).
Phản hồi yếu nhất của nhà sản xuất (Lamest Vendor Response)
Được đề cử cho Phản hồi Không phù hợp nhất cho Báo cáo Lỗ hổng trong Sản phẩm của Chính bạn. Người chiến thắng là thần thoại Daniel J. Bernstein, người cách đây 15 năm không coi đó là nghiêm trọng và không giải quyết lỗ hổng bảo mật (CVE-2005-1513) trong qmail, vì việc khai thác nó yêu cầu hệ thống 64 bit với hơn 4GB ảo. bộ nhớ.
Trong 15 năm, các hệ thống 64-bit trên các máy chủ đã thay thế các hệ thống 32-bit, lượng bộ nhớ được cung cấp tăng lên đáng kể và kết quả là một khai thác chức năng được tạo ra có thể được sử dụng để tấn công hệ thống bằng qmail trong cài đặt mặc định.
Lỗ hổng bị đánh giá thấp nhất
Giải thưởng được trao cho các lỗ hổng bảo mật (CVE-2019-0151, CVE-2019-0152) trên cơ chế Intel VTd / IOMMU, cho phép bỏ qua bảo vệ bộ nhớ và thực thi mã ở cấp Chế độ quản lý hệ thống (SMM) và Công nghệ thực thi tin cậy (TXT), ví dụ, để thay thế rootkit trong SMM. Mức độ nghiêm trọng của vấn đề lớn hơn đáng kể so với dự đoán và lỗ hổng bảo mật không dễ sửa chữa.
Hầu hết các lỗi Epic FAIL
Giải thưởng được trao cho Microsoft vì lỗ hổng bảo mật (CVE-2020-0601) trong việc triển khai chữ ký số theo đường cong elliptic cho phép tạo khóa riêng dựa trên khóa công khai. Sự cố cho phép tạo ra chứng chỉ TLS giả mạo cho HTTPS và chữ ký số giả mạo mà Windows đã xác minh là đáng tin cậy.
Thành tích tuyệt vời nhất
Giải thưởng được trao cho việc xác định một loạt lỗ hổng (CVE-2019-5870, CVE-2019-5877, CVE-2019-10567) cho phép bỏ qua tất cả các cấp độ bảo vệ của trình duyệt Chromé và thực thi mã trên hệ thống bên ngoài hộp cát môi trường. Các lỗ hổng đã được sử dụng để chứng minh một cuộc tấn công từ xa vào các thiết bị Android để giành quyền truy cập root.
Cuối cùng, nếu bạn muốn biết thêm về những người được đề cử, bạn có thể kiểm tra chi tiết Trong liên kết sau đây.