Tapaa vuoden 2023 Pwnie Awardsin finalistit

Black Hat USA 2023:n lähestyessä on aika alkaa miettiä kyberturvallisuuden Oscaria, Pwnie-palkinnot. Patsaat jaetaan asua Las Vegasissa keskiviikkona 9. elokuuta klo 6 – lukuun ottamatta tämän vuoden Lifetime Achievement Pwnie -palkintoa, joka palkittiin Summerconin hakkereiden tapaamisessa Brooklynissa, New Yorkissa 30. heinäkuuta, jolloin muut ehdokkaat julkistettiin.

Marginaalitutkimus Sophia d'Antoine ja Ian Roos esitteli ehdokkaat. Roos sanoi yli 80 ehdokkuudesta ja 30 finalistista: "Kaikkien niihin on liitetty tutkimuspaperit, joten jos sinusta tuntuu, ettemme tehneet tehokasta työtä erityisvirheesi luonnehdinnassa, se johtuu siitä, että emme tehneet sitä. ”

Nyt ehdokkaat, luettelomuodossa lyhyyden vuoksi. Ensin tulee vian nimi; sitten ehdokas; ja sitten lyhyt selitys siitä, mitä se on, kaikki erotettuna puolipisteillä. Jos se on olemassa, kommentti näkyy luettelomerkin lopussa.

Paras työpöytävirhe

• CountExposure; @b2ahex; CVE-2022-22036, "Helppohaittaohjelmat ovat löytäneet uuden leikkikaverin paikallisten etuoikeuksien eskaloitumiseen ja hiekkalaatikon pakoseikkailuihin!" Sen tärkeydestä d'Antoine sanoi: "Se on ensimmäinen bugi, joka on julkaistu ainakin viimeisen vuosikymmenen aikana Windowsin suorituskyvyn laskureista."
• LPE ja RCE RenderDocissa, CVE-2023-33865 & CVE-2023-33864; Qualys-tiimi; "Luotettava, kertaheitolla etäkäyttö uusinta glibc mallocia vastaan" "Mielestäni hieno asia huutaa täällä on, että Qualys on tehnyt Pwnie-ehdokkuuden ainakin viimeisen viiden vuoden ajan", sanoi d'Antoine. "He tekevät hienoa työtä."
• CS:GO: Nollasta 0 päivään; @neodyme; käytti logiikkavirheitä RCE Counter Strikeen. "Miksi hakkeroida rahasta, kun voi hakkeroida Internet-pisteitä?" d'Antoine kysyi retorisesti.

Paras mobiilivirhe (Lol RIP)

Tämän luokan laskentataulukossa oli kaksi kohtaa:

• "Et ehdottanut mitään lmao"
• "Ei osumia, jotka tarkoittaisivat, että tuemme NSO Groupia tänä vuonna, anteeksi Vice."

Ensimmäinen merkintä on melko selkeä. Kuten d'Antoine selitti: "Viime vuosien aikana olemme havainneet Pwnie Awards -palkintoehdokkaiden, mutta myös juuri verkossa julkaistujen bugien määrän vähentyneen erityisesti mobiililaitteissa."

Toinen on salaperäisempi. Ilmeisesti se viittaa tähän Vice-artikkeli vuodelta 2022, kuten tuon teoksen kirjoittaja huomautti siitä, mikä näyttää viides rivi Summerconissa. Saattaa kuitenkin olla silmissään silmiensä silmiä nähdäkseen tämän tarkoittavan NSO Groupin myönteistä mielipidettä.

Paras kryptografinen hyökkäys

• Käytännössä hyödynnettävissä olevat kryptografiset haavoittuvuudet Matrixissa; @martinralbrecht ja @claucece; vulns Matrix-standardissa yhdistettyä reaaliaikaista viestintää varten ja erityisesti lippulaivaasiakkaalle Elementille. Molemmat isännät näyttivät liioittelevan tietämättömyyttään tästä kategoriasta. d'Antoine uskalsi: "Tiedämme, että ne ovat laajalti käytettyjä ohjelmistoja salattuun viestintään", kun taas Roos sanoi: "Olemme nähneet sen lähinnä Al-Qaidasta."
• MEGA: Muokattava salaus menee pieleen; Matilda Backendal, Miro Haller, prof. tohtori Kenny Paterson; "viisi tuhoisaa hyökkäystä, jotka mahdollistavat käyttäjätietojen salauksen purkamisen ja muokkaamisen. Lisäksi hyökkääjät voivat lisätä haitallisia tiedostoja alustaan, jonka asiakkaat silti todentavat."
• Videopohjainen kryptausanalyysi: Kryptografisten avainten erottaminen laitteen virta-LED:n videomateriaalista; Ben Nassi; "uusi kryptanalyyttinen sivukanavahyökkäys käyttämällä laitteen LED-valon RGB-arvoja." Roos sanoi: "Tämä on todella siistiä. Pohjimmiltaan he nauhoittivat LEDin puhelimeen, ja sitten RGB-arvojen kautta pystyivät murtamaan sen kryptografisesti.

Paras laulu

Roos pahoitteli, ettei hänellä ollut aikaa soittaa kappaleita, ja tarjoutui sitten beatboximaan ne ennen kuin sanoi: "Tiedän, että olen pukeutunut rooliin, mutta se ei toimi."

"Huuta Hugo [Fortier] Reconista siitä, että käytit aikaa lähettääksesi esimerkiksi 10 kappaletta tähän kategoriaan”, D'Antoine sanoi. "Pwnie-palkintojen järjestäminen vaatii yhteisöä."

Innovatiivisin tutkimus

Kuten Roos huomautti: "Monet näistä olivat peräisin Recon yhtä hyvin."

• Applen Lightningin sisällä: iPhonen merkitseminen sumeaksi ja tuottoa varten; @ghidraninja; Thomas [Roth] kehitti iPhone JTAG -kaapelin nimeltä Tamarin Cable ja Lightning Fuzzer. https://www.youtube.com/watch?v=8p3Oi4DL0el&t=1s Tämä video ei ole enää saatavilla YouTuben mukaan, mutta voit silti katsoa Rothin DEF CON 30 -esitys.
• Yksi käsky Useita tietovuotoja huippuluokan suorittimissa, AKA Downfall; "Jotkut google-ihmiset"; ”EMBARGO'd LOL” – tiistaina 8. elokuuta 2023 – esitellään Black Hatissa 8. ja Usenixissa 9. Roos huomautti, että kauppasaarto puretaan tiistaina ja palkintojen jako on seuraavana päivänä, mikä rajoittaa sen äänestämisen käytännöllisyyttä.
• Rowhammer Sormenjälki; Hari Venugopalan, Kaustav Goswami, Zainul Abi Din, Jason Lowe-Power, Samuel T. King, Zubair Shafiq; Centauri - Rowhammer-sormenjälki https://arxiv.org/abs/2307.00143

Useimmat alihypotetut tutkimukset

• LPE ja RCE RenderDocissa, CVE-2023-33865 & 33864; Qualys-tiimi; “Luotettava, yhden laukauksen etäkäyttö uusinta glibc mallocia vastaan ​​vuonna 2023! Lisäksi hauska paikallisten etuoikeuksien eskalaatio, johon osallistuvat XDG ja systemd." Tämä on toisto Best Desktop Bug -kategoriasta. D'Antoine sanoi: "Yksittäisen RCE:n päivät ovat nyt harvassa, ja tämä on yksi harvoista, jotka olemme nähneet, ainakin tänä vuonna."
• Aktivointikonteksti Välimuistin myrkytys; Simon Zuckerbraun Trendmicrossa; "Tämä nimitys korostaa uutta etuoikeuksien eskalaatiohaavoittuvuuksien luokkaa, joka tunnetaan aktivointikontekstin välimuistin myrkkynä. Tätä tekniikkaa käytti aktiivisesti itävaltalainen hakkerointiryhmä, jota Microsoft seuraa nimellä KNOTWEED.
• Yhteistyön vaarat ja turvallisuusriskien lieventäminen Mobile-as-a-Gateway IoT:ssä; Xin'an Zhou, Jiale Guan, Luyi Xing, Zhiyun Qian; "Nämä tutkijat löysivät haavoittuvuuksia, jotka vaikuttivat lähes kaikkiin Mobile-as-a-Gateway (MaaG) IoT-laitteisiin, ja loivat suojattuja salausprotokollia käyttäjiensä suojaamiseksi."

Best Privilege Escalation

• URB Excalibur: VMware VM Escapen Gordion-solmun läpi leikkaaminen; @danis_jiang, @0x140ce; "Tämä tiimi suoritti onnistuneesti VM-poistot kaikissa VMware-virtuaalikonetuotteissa: Workstationissa, Fusionissa ja ESXissä (hiekkalaatikossa), joten se oli ainoa VMware VM-pako pwn2ownissa viime vuonna." Roos sanoi: "Rakastan tätä, koska VMwaren pakot ovat todella vaikeita, ja nämä kaverit onnistuivat löytämään sellaisen. … Se on erittäin kovaa työtä, he ottivat sen pois – rekvisiitta.”
• Klusteritoiminnan ohittaminen Databricks Platformissa; Florian Roth ja Marius Bartholdy Sec-Consultissa "(Huutakaa ehdokkuudestanne 12 kertaa kaverit)"; "Heikkokäyttöinen käyttäjä pystyi katkaisemaan Databricks-laskentaklusterien välisen eristyksen saman työtilan ja organisaation rajojen sisällä saamalla koodin etäsuorittamisen. Tämän jälkeen hyökkääjä olisi voinut päästä käsiksi kaikkiin työtilan tiedostoihin ja salaisuuksiin sekä laajentaa oikeuksiaan työtilan järjestelmänvalvojan oikeuksiksi." D'Antoine neuvoi kuivasti: "Sinun pitäisi saada muut ihmiset ainakin teeskentelemään nimittävänsä sinut."
• EI SISÄLTYY: Säilön sekaannusten paljastaminen Linux-ytimessä; Jakob Koschel, Pietro Borrello, Daniele Cono D'Elia, Herbert Bos, Cristiano Giuffrida; ”UNCONTAINED löytää ja analysoi konttien sekaannusta: uuden luokan hienovaraisia ​​hämmennysvirheitä. Johtuen laajasta (ja tuskin tutkitusta) olio-ominaisuuksien käyttöönotosta suurissa C-ohjelmissa, esimerkiksi käyttämällä yleistä CONTAINER_OF-makroa Linux-ytimessä, ne tarjoavat uuden ja hedelmällisen metsästysalueen hyökkääjille ja lisää surua puolustajille. Roos ja d'Antoine muistivat, että tämän ryhmän jäsenet voittivat kahdesti viime vuonna Paras työpöytävirhe ja Innovatiivisin tutkimus.

Paras koodin etäsuoritus

• Windowsin verkon kuormituksen tasapainottamisen haavoittuvuuksien paljastaminen: heikkouksien tutkiminen; @b2ahex; CVE-2023-28240, "Tämä haavoittuvuus mahdollistaa koodin etäsuorittamisen ilman todennusta."
• ClamAV RCE (CVE-2023-20032); @scannell_simon; "ASLR-ohitustekniikka, joka mahdollistaa 0-napsautuspalvelinpuolen hyväksikäytöt"
• Checkmk RCE-ketju; @scryh_; "Kaikki alkaa rajoitetusta SSRF:stä ja päättyy täysimittaiseen RCE:hen viiden haavoittuvuuden ketjuttamisen jälkeen. Melko harvinaista verkkomaailmassa!”

Huonoin myyjä

• Todennuksen ohitus Mura CMS:ssä; Mura-ohjelmisto; "Mura Software vaatii hyvitystä heille (ei heidän) ilmoittamasta viasta ja veloittaa asiakkailta 5000 dollaria sen korjaamisesta." https://hoyahaxa.blogspot.com/2023/03/authentication-bypass-mura-masa.html. Yleisö huusi, kun Roos luki puheen ääneen.
• Pinduoduo tai "TEMU tarkoittaa Team Up, Exploit Down"; PinDuoDuo; "Pinduoduo putosi Android-kaupasta, koska hän asensi omaan sovellukseensa kirjaimellisia takaovia käyttäjien vakoilemiseksi. Useiden media- ja tietoturvayhtiöiden paljastettuaan Pinduoduo kiisti kaikki syytökset ja syytti Googlea sen poistamisesta Play Kaupasta, mutta poisti kuitenkin nopeasti ja hiljaa kaiken haittakoodin ja hajotti sen parissa työskentelevän tiimin. Jopa CNN otti jutun talteen.
• Threeman kolme opetusta: Turvallisen lähettilään analyysi; Threema; "Threema julkaisi melko ällöttävän blogikirjoituksen, jossa hän uppoutui joihinkin ETH Zürichin opiskelijan pro gradu -tutkielmiin raportoiduista vulneista." Roos soitti Threeman vastaus "lyömällä alas."

Epic Fail

• "pyhä … bingle meillä on nofly-lista"; Liikenneturvallisuushallinto; ”Pahamaineinen queer anarkistihakkeri Maia Crimew löysi koko TSA ei fly lista makasi internetissä ja oli hyvä antaa jokainen tietää siitä." Roos kysyi: ”Etsikö kukaan muu itseään? Löysikö kukaan itsensä? Ei? Selvä."
• "Minut tuomittiin 18 kuukaudeksi vankeuteen hakkeroinnin takia"; Jonathan Manzi; "Tämä kaveri kosti työntekijän irtisanoutumiseen hakkeroimalla ja herjaamalla häntä ja hänen uutta työnantajaansa. Villi ratsastus päättyy siihen, että kirjailija kokee Jumalan luokse -hetken kodittoman ihmisen kanssa ja värähtelee metaforia kvanttimekaniikasta. Hän näyttää suhteellisen katumattomalta ja pitäisi luultavasti lähettää takaisin." of Manzin blogikirjoitus, d'Antoine myönsi: "Se kannattaa lukea."
• huonomaineinen… Jonathan Scott; Jonathan Scott; "'Ainoa syy, miksi hän ei ole rikkonut FARAa, on se, että hän on luultavasti liian tyhmä ollakseen ulkomainen agentti alun perinkin.' – Pwnie-konsultti. Roos sanoi: "Ajattelimme pyytää häntä lopettamaan twiittauksen. Ehkä meidän kaikkien pitäisi."

Eeppinen saavutus

• Löytyi paljon 0 päivää; @_clem1; Clement [Lecigne] poltti 33 luonnossa 0-päivää vuodesta 2014 lähtien ja on löytänyt 8 0-päivää jo tähän mennessä tänä vuonna. D'Antoine pohti: "Jos löydät sen luonnosta, en tiedä, lasketaanko se vikasi vai ei. Löytäjävartijat, kenties? Minä en tiedä."
• Haarahistorian injektio (BHI / Spectre-BHB); Joku VUsecistä?; "VUsecin tekemä BHI / Spectre-BHB-tutkimus osoitti, että Branch History -puskuria (eikä Branch Target -puskuria) voidaan peukaloida mikroarkkitehtuurillisesti, jotta mielivaltainen ytimen muisti voi silti vuotaa etuoikeutetuilta käyttäjiltä Spectre v2 -tyylisellä hyökkäyksellä."
• Koko PHP:n toimitusketjun kompromissi kahdesti; @swapgs; "Pwning Composer, joka palvelee 2 miljardia ohjelmistopakettia joka kuukausi. Yli sata miljoonaa näistä pyynnöistä olisi voitu kaapata haitallisten riippuvuuksien levittämiseksi ja miljoonien palvelimien vaarantamiseksi." https://www.sonarsource.com/blog/securing-developer-tools-a-new-supply-chain-attack-on-php/

Elämäntyöpalkinnon voittaja: Mudge

Viime vuonna joukkue esitteli ylimääräisen patsaan Dino Dai Zovi, Pwnie Awardsin perustaja, seremonian ensimmäinen elämäntyöpalkinto. "Päätimme jatkaa niin", Roos sanoi Brooklynissa viime viikolla. "Jos et ole jo arvannut, aiomme antaa vuoden 2023 elämäntyöpalkinnon Pwnie Awards -palkinnosta Mudgelle. Missä Mudge on? Onko hän vihreässä huoneessa?"

D'Antoine lisäsi: "Tiedämme, että hän on täällä."

Muutaman hetken kuluttua Mudge, jota kutsutaan joskus Peiter Zatkoksi, L0pht-hakkeri, joka kasvoi työskennelläkseen DARPA, Google, Stripe ja tunnetuin Twitter, ennen kuin hän hyväksyi nykyisen roolinsa Rapid7:ssä — tuli kulissien takaa lyhythihaisessa raglan-t-paidassa ja mustissa farkuissa.

Roos sanoi: "Tämä on elämäntyöpalkinto kaikesta, mitä olet tehnyt alan luomiseksi ja sen sijoittamiseksi paikkaan, jossa se on olemassa ja aitoa. Joten kiitos."

Mudge halasi Roosi, kohotti sitten Pwnieään ja sanoi (mikrofonin ulkopuolella) "Kiitos."

Mudge sanoi mikrofonissa: "Se on yhteisö, ja kaikki muut ovat mahdollistaneet tämän kaiken, ja rakastan tätä yhteisöä. Tämä merkitsee minulle paljon. … Olet aina ollut siellä, ja toivon, että olen ollut siellä sinua varten.”

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. Autot / sähköautot, hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• BlockOffsets. Ympäristövastuun omistuksen nykyaikaistaminen. Pääsy tästä.
• Lähde: https://www.darkreading.com/edge/meet-the-finalists-for-the-2023-pwnie-awards