2023 Pwnie अवार्ड्स के फाइनलिस्ट से मिलें

ब्लैक हैट यूएसए 2023 निकट आने के साथ, साइबर सुरक्षा के ऑस्कर के बारे में सोचना शुरू करने का समय आ गया है। प्वनी पुरस्कार. प्रतिमाएं सौंपी जाएंगी लास वेगास में रहते हैं बुधवार, 9 अगस्त को शाम 6:30 बजे - इस साल के लाइफटाइम अचीवमेंट पनी को छोड़कर, जिसे 14 जुलाई को ब्रुकलिन, न्यूयॉर्क में समरकॉन हैकर्स मीटअप में प्रदान किया गया था, जब अन्य नामांकितों की घोषणा की गई थी।

मार्जिन रिसर्च का सोफिया डी'एंटोनी और इयान रोस नामांकित व्यक्तियों को प्रस्तुत किया। रोस ने 80 से अधिक नामांकनों और 30 फाइनलिस्टों के बारे में कहा, "उन सभी के साथ शोध पत्र जुड़े हुए हैं, इसलिए यदि आपको लगता है कि हमने यह दर्शाने का प्रभावी काम नहीं किया कि आपका विशेष बग कितना महत्वपूर्ण था, तो इसका कारण यह है कि हमने ऐसा नहीं किया। ”

अब नामांकित व्यक्तियों पर, संक्षिप्तता के लिए सूची प्रारूप में। सबसे पहले बग का नाम आता है; फिर नामांकित व्यक्ति; और फिर यह क्या है इसका एक संक्षिप्त विवरण, सभी को अर्धविराम से अलग किया गया। जहां यह मौजूद है, बुलेट आइटम के अंत में टिप्पणी दिखाई देती है।

सर्वश्रेष्ठ डेस्कटॉप बग

• काउंटएक्सपोज़र; @b2ahex; CVE-2022-22036, "डरपोक मैलवेयर को स्थानीय विशेषाधिकार वृद्धि और सैंडबॉक्स एस्केप एडवेंचर के लिए एक नया साथी मिल गया है!" इसके महत्व के बारे में, डी'एंटोनी ने कहा, "यह पहला बग है जो कम से कम पिछले दशक में विंडोज़ में प्रदर्शन काउंटरों के बारे में जारी किया गया है।"
• रेंडरडॉक में एलपीई और आरसीई, CVE-2023-33865 & CVE-2023-33864; क्वालिस टीम; "नवीनतम ग्लिबक मॉलोक के खिलाफ एक विश्वसनीय, एक-शॉट वाला रिमोट एक्सप्लॉइट" "मुझे लगता है कि यहां चिल्लाने लायक अच्छी बात यह है कि क्वालिस ने कम से कम पिछले पांच वर्षों के लिए Pwnie को नामांकित किया है," डी'एंटोनी ने कहा। "वे कुछ महान कार्य करते हैं।"
• सीएस:जीओ: शून्य से 0-दिन तक; @neodyme; आरसीई काउंटर स्ट्राइक में लॉजिक बग का उपयोग किया गया। "जब आप इंटरनेट पॉइंट के लिए हैक कर सकते हैं तो पैसे के लिए हैक क्यों करें?" डी'एंटोनी ने अलंकारिक रूप से पूछा।

सर्वश्रेष्ठ मोबाइल बग (लोल आरआईपी)

इस श्रेणी के लिए, स्प्रेडशीट में दो प्रविष्टियाँ थीं:

• "आपने कुछ भी नामांकित नहीं किया लामाओ"
• "कोई हिट पीस नहीं है जिसका अर्थ यह है कि हम इस वर्ष एनएसओ समूह का समर्थन करते हैं, क्षमा करें वाइस।"

पहली प्रविष्टि बिल्कुल स्पष्ट है. जैसा कि डी'एंटोनी ने बताया, "पिछले कुछ वर्षों में, हमने प्वनी पुरस्कारों के लिए नामांकित बगों की संख्या में कमी देखी है, लेकिन विशेष रूप से मोबाइल से संबंधित, केवल ऑनलाइन प्रचारित किए गए हैं।"

दूसरा अधिक गूढ़ है. यह स्पष्टतः इसी ओर संकेत करता है 2022 से वाइस आर्टिकल, जैसा कि उस टुकड़े के लेखक ने बताया है कि यह कैसा दिखता है समरकॉन में पांचवीं पंक्ति. हालाँकि, इसे एनएसओ समूह की अनुकूल राय के रूप में देखने के लिए किसी को आंखें मूंदनी पड़ सकती हैं।

सर्वश्रेष्ठ क्रिप्टोग्राफ़िक हमला

• मैट्रिक्स में व्यावहारिक रूप से शोषण योग्य क्रिप्टोग्राफ़िक कमजोरियाँ; @martinralbrecht और @claucece; फ़ेडरेटेड रीयल-टाइम संचार और विशेष रूप से फ्लैगशिप क्लाइंट, एलिमेंट के लिए मैट्रिक्स मानक में वल्न्स। दोनों मेज़बान इस श्रेणी के बारे में अपनी अज्ञानता को बढ़ा-चढ़ाकर पेश कर रहे थे। डी'एंटोनी ने उद्यम किया, "हम जानते हैं कि वे एन्क्रिप्टेड संचार के लिए व्यापक रूप से उपयोग किए जाने वाले सॉफ़्टवेयर हैं," जबकि रोस ने कहा, "हमने इसे ज्यादातर अल कायदा के बारे में देखा है।"
• मेगा: निंदनीय एन्क्रिप्शन गड़बड़ा जाता है; मटिल्डा बैकेन्डल, मिरो हॉलर, प्रो. डॉ. केनी पैटर्सन; “पांच विनाशकारी हमले जो उपयोगकर्ता डेटा को डिक्रिप्ट और संशोधित करने की अनुमति देते हैं। इसके अतिरिक्त, हमलावरों के पास प्लेटफ़ॉर्म में दुर्भावनापूर्ण फ़ाइलें डालने की क्षमता होती है जिसे ग्राहक अभी भी प्रमाणित करेंगे।"
• वीडियो-आधारित क्रिप्टोएनालिसिस: डिवाइस के पावर एलईडी के वीडियो फुटेज से क्रिप्टोग्राफ़िक कुंजी निकालना; बेन नास्सी; "डिवाइस के एलईडी के आरजीबी मूल्यों का उपयोग करके नया क्रिप्टोएनालिटिक साइड-चैनल हमला।" रोस ने कहा, “यह सचमुच बहुत अच्छा है। उन्होंने मूल रूप से एक फोन पर एक एलईडी रिकॉर्ड किया, और फिर आरजीबी मूल्यों के माध्यम से, क्रिप्टोग्राफ़िक रूप से इसे तोड़ने में सक्षम थे।

सर्वश्रेष्ठ गीत

रूज़ ने गाने बजाने के लिए समय न दे पाने के लिए माफ़ी मांगी, फिर विरोध करने से पहले उन्हें बीटबॉक्स करने की पेशकश की, "मुझे पता है कि मैंने इस भूमिका के लिए तैयार किया है, लेकिन यह काम नहीं करेगा।"

"करने के लिए बाहर चिल्लाओ रिकॉन से ह्यूगो [फोर्टियर] इस श्रेणी में 10 गाने सबमिट करने के लिए समय निकालने के लिए," डी'एंटोनी ने कहा। "प्वनी अवार्ड्स को सफल बनाने के लिए समुदाय की आवश्यकता होती है।"

सबसे नवीन अनुसंधान

जैसा कि रोस ने बताया, “इनमें से बहुत से लोग थे टोह भी।"

• ऐप्पल की लाइटनिंग के अंदर: फ़ज़िंग और लाभ के लिए iPhone को जेटिंग करना; @ghidraninja; थॉमस [रोथ] ने टैमरिन केबल और लाइटनिंग फ़ज़र नामक एक iPhone JTAG केबल विकसित किया। https://www.youtube.com/watch?v=8p3Oi4DL0el&t=1s YouTube के अनुसार वह वीडियो अब उपलब्ध नहीं है, लेकिन आप अभी भी देख सकते हैं रोथ की DEF CON 30 प्रस्तुति.
• अत्याधुनिक सीपीयू में सिंगल इंस्ट्रक्शन मल्टीपल डेटा लीक, उर्फ ​​डाउनफॉल; "कुछ गूगल लोग"; "एम्बार्गो'ड एलओएल" - मंगलवार, अगस्त 8, 2023 - ब्लैक हैट 8/9 और यूसेनिक्स 8/11 में प्रस्तुत किया जाएगा। रूज़ ने कहा कि प्रतिबंध मंगलवार को हटता है और पुरस्कार अगले दिन होते हैं, जो इसके लिए मतदान की व्यावहारिकता को सीमित करता है।
• रोहैमर फ़िंगरप्रिंटिंग; हरि वेणुगोपालन, कौस्तव गोस्वामी, ज़ैनुल अबी दीन, जेसन लोव-पावर, सैमुअल टी. किंग, ज़ुबैर शफ़ीक़; सेंटॉरी - रोहैमर फ़िंगरप्रिंटिंग https://arxiv.org/abs/2307.00143

सबसे कम प्रचारित शोध

• रेंडरडॉक में एलपीई और आरसीई, सीवीई-2023-33865 और 33864; क्वालिस टीम; “2023 में नवीनतम ग्लिबैक मॉलोक के विरुद्ध एक विश्वसनीय, एक-शॉट रिमोट शोषण! साथ ही XDG और सिस्टमडी से जुड़ा एक मज़ेदार स्थानीय विशेषाधिकार वृद्धि।" यह सर्वश्रेष्ठ डेस्कटॉप बग श्रेणी का दोहराव है। डी'एंटोनी ने कहा, "वन-शॉट आरसीई के दिन अब बहुत कम रह गए हैं और यह उन कुछ में से एक है जो हमने कम से कम इस साल देखा है।"
• सक्रियण प्रसंग कैश पॉइज़निंग; ट्रेंडमाइक्रो में साइमन ज़करब्रौन; “यह नामांकन विशेषाधिकार वृद्धि की कमजोरियों के एक नए वर्ग को उजागर करता है, जिसे सक्रियण संदर्भ कैश विषाक्तता के रूप में जाना जाता है। इस तकनीक का सक्रिय रूप से ऑस्ट्रियाई हैक-फॉर-हायर समूह द्वारा उपयोग किया जा रहा था जिसे माइक्रोसॉफ्ट द्वारा KNOTWEED के रूप में ट्रैक किया गया था।
• मोबाइल-ए-गेटवे IoT में सहयोग के सुरक्षा जोखिमों के खतरे और शमन; ज़िनान झोउ, जियाले गुआन, लुई जिंग, ज़ियुन कियान; "इन शोधकर्ताओं ने उन कमजोरियों को उजागर किया जो लगभग सभी मोबाइल-एज़-ए-गेटवे (एमएएजी) आईओटी उपकरणों को प्रभावित करती हैं, और अपने उपयोगकर्ताओं की सुरक्षा में मदद के लिए सुरक्षित क्रिप्टोग्राफ़िक प्रोटोकॉल बनाए।"

सर्वोत्तम विशेषाधिकार वृद्धि

• यूआरबी एक्सकैलिबर: वीएमवेयर वीएम एस्केप के गॉर्डियन नॉट के माध्यम से स्लाइसिंग; @danis_jiang, @0x140ce; "इस टीम ने सभी VMware वर्चुअल मशीन उत्पादों: वर्कस्टेशन, फ़्यूज़न, और ESXi (सैंडबॉक्स के भीतर) में VM एस्केप का सफलतापूर्वक प्रदर्शन किया, जिससे यह पिछले साल pwn2own में एकमात्र VMware VM एस्केप बन गया।" रोस ने कहा, "मुझे यह पसंद है क्योंकि वीएमवेयर से बचना वास्तव में कठिन है, और ये लोग इसे ढूंढने में कामयाब रहे। ... इसे करना बहुत कठिन काम है, उन्होंने इसे कर दिखाया - प्रॉप्स।"
• डेटाब्रिक्स प्लेटफ़ॉर्म में क्लस्टर ऑपरेशन को दरकिनार करना; सेक-कंसल्ट में फ़्लोरियन रोथ और मारियस बार्थोल्डी "(खुद को 12 बार नामांकित करने के लिए चिल्लाओ दोस्तों)"; “एक कम-विशेषाधिकार प्राप्त उपयोगकर्ता रिमोट कोड निष्पादन प्राप्त करके समान कार्यक्षेत्र और संगठन की सीमा के भीतर डेटाब्रिक्स कंप्यूट क्लस्टर के बीच अलगाव को तोड़ने में सक्षम था। इससे बाद में एक हमलावर को कार्यक्षेत्र में सभी फाइलों और रहस्यों तक पहुंचने की अनुमति मिल जाती और साथ ही उनका विशेषाधिकार कार्यक्षेत्र प्रशासक तक बढ़ जाता।' डी'एंटोनी ने शुष्कता से सलाह दी, "आपको अन्य लोगों को कम से कम आपको नामांकित करने का नाटक करने के लिए प्रेरित करना चाहिए।"
• अप्रतिबंधित: लिनक्स कर्नेल में कंटेनर भ्रम को उजागर करना; जैकब कोशेल, पिएत्रो बोरेलो, डेनियल कोनो डी'एलिया, हर्बर्ट बोस, क्रिस्टियानो गिफ्रिडा; “अनकंटेन्ड कंटेनर कन्फ्यूजन की खोज और विश्लेषण करता है: सूक्ष्म प्रकार के कन्फ्यूजन बग का एक नया वर्ग। बड़े सी कार्यक्रमों में ऑब्जेक्ट-ओरिएंटेड सुविधाओं के व्यापक (और बमुश्किल अध्ययन किए गए) परिचय के कारण, उदाहरण के लिए लिनक्स कर्नेल में सामान्य CONTAINER_OF मैक्रो का उपयोग करके, वे हमलावरों के लिए एक नया और उपजाऊ शिकार मैदान और रक्षकों के लिए अतिरिक्त दुःख प्रदान करते हैं। रोस और डी'एंटोनी को याद आया कि इस समूह के सदस्यों ने पिछले साल दो बार जीत हासिल की थी सर्वश्रेष्ठ डेस्कटॉप बग और सबसे नवीन अनुसंधान.

सर्वोत्तम रिमोट कोड निष्पादन

• विंडोज नेटवर्क लोड बैलेंसिंग में कमजोरियों का खुलासा: कमजोरियों की खोज; @b2ahex; CVE-2023-28240, "यह भेद्यता किसी भी प्रमाणीकरण की आवश्यकता के बिना दूरस्थ कोड निष्पादन की अनुमति देती है।"
• क्लैमएवी आरसीई (CVE-2023-20032); @scannell_simon; "एएसएलआर बायपास तकनीक 0 क्लिक सर्वर साइड शोषण को सक्षम करती है"
• चेकएमके आरसीई श्रृंखला; @scryh_; “यह सब एक सीमित एसएसआरएफ के साथ शुरू होता है और 5 कमजोरियों की श्रृंखला के बाद एक पूर्ण विकसित आरसीई में समाप्त होता है। वेब दुनिया में यह बहुत ही असामान्य है!”

सबसे घटिया विक्रेता

• मुरा सीएमएस में प्रमाणीकरण बाईपास; मुरा सॉफ्टवेयर; "मुरा सॉफ़्टवेयर उन्हें बताई गई बग के लिए श्रेय का दावा करता है (उनके द्वारा नहीं) और इसे ठीक करने के लिए ग्राहकों से $5000 का शुल्क लेता है।" https://hoyahaxa.blogspot.com/2023/03/authentication-bypass-mura-masa.html. जब रूज़ ने ज़ोर से ब्लर्ब पढ़ा तो भीड़ ने शोर मचाया।
• Pinduoduo या "TEMU का अर्थ है टीम अप, एक्सप्लॉइट डाउन"; PinDuoDuo; “अपने उपयोगकर्ताओं की जासूसी करने के लिए अपने स्वयं के ऐप में शाब्दिक बैकडोर स्थापित करने के लिए पिंडुओदुओ को एंड्रॉइड स्टोर से बाहर कर दिया गया। कई मीडिया और सुरक्षा कंपनियों द्वारा उजागर किए जाने के बाद, पिंडुओदुओ ने सभी आरोपों से इनकार किया और इसे प्ले स्टोर से हटाने के लिए Google को दोषी ठहराया, फिर भी जल्दी और चुपचाप सभी दुर्भावनापूर्ण कोड हटा दिए और इस पर काम करने वाली टीम को भंग कर दिया। यहां तक ​​की सीएनएन ने कहानी उठाई.
• थ्रेमा से तीन सबक: एक सुरक्षित मैसेंजर का विश्लेषण; थ्रेमा; "थ्रीमा ने ईटीएच ज्यूरिख में एक छात्र की मास्टर थीसिस द्वारा रिपोर्ट की गई कुछ कमजोरियों को उजागर करते हुए एक अजीब ब्लॉग पोस्ट पोस्ट किया।" रूस ने बुलाया थ्रेमा की प्रतिक्रिया "मुक्का मारना।"

अधिकांश महाकाव्य असफल

• "पवित्र... बिंगले हमारे पास नोफ्ली सूची है"; परिवहन सुरक्षा प्रशासन; “कुख्यात विचित्र अराजकतावादी हैकर मैया क्राइम्यू ने इसकी खोज की संपूर्ण टीएसए नो फ्लाई सूची इंटरनेट पर चारों ओर झूठ बोल रहा था और जाने के लिए अच्छी कृपा थी हर कोई जानिए इसके बारे में.'' रोस ने पूछा, “क्या किसी और ने भी अपने लिए खोज की? क्या किसी ने स्वयं को खोजा? नहीं? ठीक है।"
• "मुझे हैकिंग बैक के लिए 18 महीने की जेल की सजा सुनाई गई थी"; जोनाथन मन्ज़ी; “इस आदमी ने एक कर्मचारी के नौकरी छोड़ने का बदला लेने के लिए हैकिंग की और उसे तथा उसके नए नियोक्ता को बदनाम किया। जंगली यात्रा का समापन लेखक द्वारा एक बेघर व्यक्ति के साथ भगवान के क्षण और क्वांटम यांत्रिकी के बारे में कुछ घटिया रूपकों के साथ होता है। वह अपेक्षाकृत अप्रसन्न प्रतीत होता है और संभवतः उसे वापस भेज दिया जाना चाहिए। का मन्ज़ी का ब्लॉग पोस्ट, डी'एंटोनी ने अनुमति दी, "यह पढ़ने लायक है।"
• बदनाम... जोनाथन स्कॉट; जोनाथन स्कॉट; "'उसने एफएआरए का उल्लंघन नहीं किया है इसका एकमात्र कारण यह है कि वह शायद विदेशी एजेंट बनने के लिए बहुत मूर्ख है।' - एक पनी सलाहकार।" रोस ने कहा, ''हम उनसे ट्वीट करना बंद करने के लिए कहने के बारे में सोच रहे थे। शायद हम सभी को ऐसा करना चाहिए।”

महाकाव्य उपलब्धि

• 0 दिन के बहुत सारे मिले; @_clem1; क्लेमेंट [लेसिग्ने] ने 33 से लेकर अब तक जंगल में 0 2014-दिन जलाए हैं और इस वर्ष अब तक 8 0-दिन पाए हैं। डी'एंटोनी ने सोचा, "यदि आप इसे जंगल में पाते हैं, तो मुझे नहीं पता कि यह आपका बग माना जाएगा या नहीं। खोजकर्ता रखवाले, शायद? मुझें नहीं पता।"
• शाखा इतिहास इंजेक्शन (बीएचआई / स्पेक्टर-बीएचबी); VUsec पर कोई?; "वीयूसेक द्वारा बीएचआई/स्पेक्टर-बीएचबी शोध से पता चला है कि कोई व्यक्ति स्पेक्टर वी2-स्टाइल हमले का उपयोग करके गैर-विशेषाधिकार प्राप्त उपयोगकर्ता से मनमानी कर्नेल मेमोरी को लीक करने के लिए ब्रांच हिस्ट्री बफ़र (ब्रांच टारगेट बफ़र के बजाय) के साथ माइक्रोआर्किटेक्चरल रूप से छेड़छाड़ कर सकता है।"
• संपूर्ण PHP आपूर्ति शृंखला का दो बार समझौता; @swapgs; “प्विंग कंपोज़र जो हर महीने 2 अरब सॉफ्टवेयर पैकेज पेश करता है। इनमें से सौ मिलियन से अधिक अनुरोधों को दुर्भावनापूर्ण निर्भरता वितरित करने और लाखों सर्वरों से समझौता करने के लिए अपहृत किया जा सकता था। https://www.sonarsource.com/blog/securing-developer-tools-a-new-supply-chain-attack-on-php/

लाइफटाइम अचीवमेंट पुरस्कार विजेता: मडगे

पिछले साल, टीम ने एक अतिरिक्त प्रतिमा प्रस्तुत की थी डिनो दाई ज़ोविक, समारोह के पहले आजीवन उपलब्धि पुरस्कार के रूप में, Pwnie अवार्ड्स के संस्थापक। रोस ने पिछले सप्ताह ब्रुकलिन में कहा, "हमने तय किया कि हम ऐसा करना जारी रखेंगे।" “यदि आपने पहले से अनुमान नहीं लगाया है, तो हम मडगे को Pwnie अवार्ड्स के लिए 2023 का लाइफटाइम अचीवमेंट अवार्ड देने जा रहे हैं। मुज कहाँ है? क्या वह ग्रीन रूम में है?”

डी'एंटोनी ने कहा, "हम जानते हैं कि वह यहां है।"

कुछ क्षणों के बाद, मडगे - जिसे कभी-कभी पीटर ज़टको भी कहा जाता है, L0pht हैकर जो बड़े होकर काम करता था DARPA, गूगल, स्ट्राइप, और, सबसे कुख्यात, ट्विटररैपिड7 में अपनी वर्तमान भूमिका स्वीकार करने से पहले - मंच के पीछे से छोटी आस्तीन वाली रैगलन टी और काली जींस पहनकर बाहर आए।

रोस ने कहा, “उद्योग को बनाने और इसे उस स्थान पर स्थापित करने के लिए आपने जो कुछ भी किया है, उसके लिए यह एक आजीवन उपलब्धि पुरस्कार है जहां यह मौजूद है और यह वास्तविक है। इसलिए आपका धन्यवाद।"

मडगे ने रोस को गले लगाया, फिर अपनी प्वनी को उठाया और कहा (माइक से बाहर) "धन्यवाद।"

माइक पर, मडगे ने कहा, “यह समुदाय है, और यह हर कोई है जिसने यह सब सक्षम किया है, और मुझे यह समुदाय पसंद है। यह मेरे लिए बहुत मायने रखता है. ... आप हमेशा वहाँ रहे हैं, और मुझे आशा है कि मैं आपके लिए वहाँ रहा हूँ।

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
• प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• प्लेटोईएसजी. ऑटोमोटिव/ईवीएस, कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
• BlockOffsets. पर्यावरणीय ऑफसेट स्वामित्व का आधुनिकीकरण। यहां पहुंचें।
• स्रोत: https://www.darkreading.com/edge/meet-the-finalists-for-the-2023-pwnie-awards