プニー賞 2023
Black Hat USA 2023 カンファレンス中 数日前に開催されました(5月10日からXNUMX月XNUMX日まで、ラスベガスのマンダレイベイ コンベンションセンターで) それは知られるようになった 年間賞受賞者リストの発表 プニー賞 2023
プニー賞を知らない人は、それが次のようなものであることを知っておく必要があります。そして注目のイベントなのですが、 このイベントでは、参加者がコンピュータ セキュリティの分野における最も重大な脆弱性や不条理な失敗を明らかにします。
Pwnie Awards は、情報セキュリティの分野における卓越性と無能性の両方を表彰します。 受賞者は、情報セキュリティ コミュニティから集められた推薦の中から、セキュリティ業界の専門家からなる委員会によって選出されます。
この賞は毎年 Black Hat Security Conference で授与され、 これらは、コンピュータ セキュリティにおけるオスカー賞やゴールデン ラズベリー賞に匹敵するものと考えられています。
Pwnie Awards 2023 受賞者リスト
デスクトップの最高の脆弱性
勝者は脆弱性だった CVE-2022-22036 パフォーマンス カウンター メカニズムで、Windows での権限を昇格できるようになります。
権限昇格の脆弱性の改善。
勝者は脆弱性だった USB エクスカリバー (CVE-2022-31705) VMware ESXi、Workstation、および Fusion 仮想化製品で使用される USB ドライバーの実装。 この脆弱性により、ゲスト システムからホスト環境にアクセスし、VMX プロセスの権限でコードを実行することが可能になります。
最も優れたリモート実行の脆弱性
勝者は脆弱性だった (CVE-2023-20032) ClamAV の無料アンチウイルスでは、HFS+ 形式で特別に作成されたディスク イメージを含むファイルをスキャンするとき (たとえば、電子メール内の電子メールから抽出されたファイルをスキャンするとき)、コードの実行が可能になります。 サーバ)。
最大の功績。
この賞は、Chrome、iOS、Android への攻撃に使用された 33 件のゼロデイ脆弱性を特定した功績により、Google 脅威分析グループの Clement Lecigne 氏に贈られました。
最高の暗号攻撃。
受賞したのは、LEDインジケーター(LEDインジケーター)の分析を実行することで、暗号化キーの値を遠隔から回復できる攻撃方法でした。 ここで投稿を共有します ブログで)。 これにより、スマート カード リーダーの LED インジケーターを撮影したカメラのビデオ分析、またはドングルで操作を実行するスマートフォンで USB ハブに接続されたデバイスのビデオ分析を通じて、ECDSA および SIKE アルゴリズムに基づいて暗号化キーを回復できます。
最も革新的な研究。
この勝利は、Apple の Lightning コネクタを使用して iPhone の JTAG デバッグ インターフェイスにアクセスし、デバイスを完全に制御できる可能性を示した研究によって勝ち取られました。
このカテゴリーでは、攻撃陣もノミネートされたことは注目に値します。 落ちる Intel CPUと Centauri、Rowhammer に基づく手法 固有のフィンガープリントを生成する
最も過小評価されている研究
このカテゴリで優勝したのは、アクティベーション コンテキスト キャッシュ ポイズニングによる権限昇格を可能にする Windows CSRSS の新しい種類の脆弱性を特定した、トレンドマイクロの従業員による調査でした。
最大の失敗(Most Epic FAIL)。
賞を受賞したのは、 TSA (交通安全管理) USA は、特に No Fly リストが含まれている Elasticsearch の公開リポジトリへのアクセスを制限できませんでした。
最もなめる反応
製品自体の脆弱性報告に対する最も不適切な対応のノミネート。 勝利は、同社の「安全な」メッセージング プロトコルのセキュリティ分析に気まぐれに反応し、特定された重大な問題を深刻なものとして考慮しなかった Threema に軍配が上がりました。
最後に、あなたがそれについてもっと知ることができることに興味があるなら、あなたはの詳細を調べることができます 次の文書 各ケースの詳細が共有されます。
プニー賞の公式サイトでは、文書内で共有されている情報はまだ更新されておらず、同じ情報が表示されるまでに数日しかかからないことは言及しておく価値があります。 ウェブサイトで。