Maak kennis met de finalisten voor de Pwnie Awards 2023

Maak kennis met de finalisten voor de Pwnie Awards 2023

Tijdstempel: 21 juli 2023 12:07 uur
Maak kennis met de finalisten voor de Pwnie Awards 2023 PlatoBlockchain Data Intelligence. Verticaal zoeken. Ai.

Met Black Hat USA 2023 in aantocht, is het tijd om na te denken over de Oscars van cyberbeveiliging, de Pwnie-prijzen. De beeldjes worden uitgedeeld woon in Vegas op woensdag 9 augustus om 6 uur – met uitzondering van de Lifetime Achievement Pwnie van dit jaar, die werd uitgereikt tijdens de Summercon hackersbijeenkomst in Brooklyn, New York op 30 juli, toen de andere genomineerden werden aangekondigd.

Marge onderzoek Sophia d'Antoine en Ian Roos presenteerde de genomineerden. Roos zei over de meer dan 80 nominaties en 30 finalisten: “Al die hebben onderzoekspapieren, dus als je het gevoel hebt dat we niet goed hebben beschreven hoe belangrijk jouw speciale bug was, dan is dat omdat we dat niet hebben gedaan. ”

Nu op naar de genomineerden, kortheidshalve in lijstformaat. Eerst komt de naam van de bug; dan de genomineerde; en dan een korte uitleg van wat het is, allemaal gescheiden door puntkomma's. Waar het bestaat, verschijnt commentaar aan het einde van het opsommingsteken.

Beste desktopbug

  • TelBlootstelling; @b2ahex; CVE-2022-22036, "Stiekeme malware heeft een nieuwe speelkameraad gevonden voor lokale privilege-escalatie en sandbox-ontsnappingsavonturen!" Over het belang ervan zei d'Antoine: "Het is de eerste bug die in ieder geval in het afgelopen decennium is uitgebracht over prestatiemeteritems in Windows."
  • LPE en RCE in RenderDoc, CVE-2023-33865 & CVE-2023-33864; het Qualys-team; "Een betrouwbare, one-shot remote exploit tegen de nieuwste glibc malloc" "Ik denk dat het coole om hier te roepen is dat Qualys de afgelopen vijf jaar Pwnie-nominaties heeft gemaakt", zei d'Antoine. "Ze doen geweldig werk."
  • CS:GO: van nul naar nuldagen; @neodyme; gebruikte logische bugs voor RCE Counter Strike. "Waarom hacken voor geld als je kunt hacken voor internetpunten?" vroeg d'Antoine retorisch.

Beste mobiele bug (Lol RIP)

Voor deze categorie had de spreadsheet twee ingangen:

  • "jullie hebben niets genomineerd lmao"
  • "geen hitstukken die impliceren dat we dit jaar NSO Group steunen, sorry Vice."

De eerste invoer is vrij duidelijk. Zoals d'Antoine uitlegde: "De afgelopen jaren hebben we een afname gezien van het aantal bugs dat is genomineerd voor de Pwnie Awards, maar ook alleen online is gepubliceerd, specifiek gerelateerd aan mobiel."

De tweede is cryptischer. Daar verwijst het blijkbaar naar Vice-artikel uit 2022, zoals de schrijver van dat stuk opmerkte aan de hand van wat lijkt op de vijfde rij bij Summercon. Je moet misschien je ogen dichtknijpen om te zien dat dit een positief advies van NSO Group impliceert.

Beste cryptografische aanval

  • Praktisch exploiteerbare cryptografische kwetsbaarheden in Matrix; @martinralbrecht en @claucece; vulns in Matrix-standaard voor gefedereerde real-time communicatie en vooral de vlaggenschipclient, Element. De twee gastheren leken hun onwetendheid over deze categorie te overdrijven. d'Antoine waagde: "We weten dat het veelgebruikte software is voor gecodeerde communicatie", terwijl Roos zei: "We hebben het vooral gezien over Al Qaeda."
  • MEGA: kneedbare encryptie gaat mis; Matilda Backendal, Miro Haller, prof. dr. Kenny Paterson; “vijf verwoestende aanvallen waarbij gebruikersgegevens kunnen worden ontsleuteld en gewijzigd. Bovendien hebben aanvallers de mogelijkheid om kwaadaardige bestanden in het platform te injecteren die de clients nog steeds zullen authenticeren.”
  • Op video gebaseerde cryptanalyse: cryptografische sleutels extraheren uit videobeelden van de voedings-LED van een apparaat; Ben Nassi; "nieuwe cryptanalytische zijkanaalaanval met behulp van de RGB-waarden van de LED van het apparaat." Roos zei: “Dit is echt een coole. Ze namen in feite een LED op een telefoon op en konden deze vervolgens via de RGB-waarden cryptografisch breken.

Beste liedje

Roos verontschuldigde zich voor het feit dat ze geen tijd had om de nummers te spelen en bood toen aan om ze te beatboxen voordat ze bezwaar maakte: "Ik weet dat ik gekleed ben voor de rol, maar het gaat niet lukken."

“Schreeuw naar Hugo [Fortier] van Recon voor het nemen van de tijd om ongeveer 10 nummers in deze categorie in te dienen,' zei D'Antoine. "Er is de gemeenschap voor nodig om de Pwnie Awards mogelijk te maken."

Meest innovatieve onderzoek

Zoals Roos opmerkte: “Veel van deze waren van Recon ook."

  • Inside Apple's Lightning: de iPhone jtaggen voor fuzzing en winst; @ghidraninja; Thomas [Roth] ontwikkelde een iPhone JTAG-kabel genaamd de Tamarin-kabel en een Lightning Fuzzer. https://www.youtube.com/watch?v=8p3Oi4DL0el&t=1s Die video is volgens YouTube niet meer beschikbaar, maar je kunt hem nog wel bekijken Roths DEF CON 30 presentatie.
  • Enkele instructie Meerdere datalekken in geavanceerde CPU's, AKA Downfall; "Sommige Google-mensen"; "EMBARGO'd LOL" — dinsdag 8 augustus 2023 — wordt gepresenteerd op Black Hat 8/9 en Usenix 8/11. Roos merkte op dat het embargo dinsdag wordt opgeheven en dat de prijzen de volgende dag worden uitgereikt, wat de bruikbaarheid van stemmen beperkt.
  • Rowhammer-vingerafdrukken; Hari Venugopalan, Kaustav Goswami, Zainul Abi Din, Jason Lowe-Power, Samuel T. King, Zubair Shafiq; Centauri - Rowhammer-vingerafdrukken https://arxiv.org/abs/2307.00143

Meest ondergewaardeerd onderzoek

  • LPE en RCE in RenderDoc, CVE-2023-33865 & 33864; het Qualys-team; “Een betrouwbare, eenmalige externe exploit tegen de nieuwste glibc malloc, in 2023! Plus een leuke lokale privilege-escalatie met XDG en systemd. Dit is een herhaling uit de categorie Best Desktop Bug. D'Antoine zei: "De dagen van eenmalige RCE's zijn nu zeldzaam, en dit is een van de weinige die we hebben gezien, althans dit jaar."
  • Activering Context Cache Vergiftiging; Simon Zuckerbraun bij Trendmicro; “Deze nominatie benadrukt een nieuwe klasse van kwetsbaarheden voor escalatie van privileges, bekend als vergiftiging van de activeringscontextcache. Deze techniek werd actief gebruikt door een Oostenrijkse hack-for-hire-groep die door Microsoft wordt gevolgd als KNOTPWEED”
  • Gevaren en beperking van veiligheidsrisico's van samenwerking in mobiel-als-gateway IoT; Xin'an Zhou, Jiale Guan, Luyi Xing, Zhiyun Qian; "Deze onderzoekers ontdekten kwetsbaarheden die bijna alle Mobile-as-a-Gateway (MaaG) IoT-apparaten troffen, en creëerden veilige cryptografische protocollen om hun gebruikers te helpen beschermen."

Beste privilege-escalatie

  • URB Excalibur: door de Gordiaanse knoop van VMware VM Escapes snijden; @danis_jiang, @0x140ce; "Dit team heeft met succes VM-ontsnappingen uitgevoerd voor alle virtuele VMware-machineproducten: Workstation, Fusion en ESXi (binnen de sandbox), waardoor het vorig jaar de enige VMware VM-ontsnapping op pwn2own was." Roos zei: “Ik vind dit geweldig omdat VMware-ontsnappingen erg moeilijk zijn, en deze jongens zijn erin geslaagd er een te vinden. … Het is heel zwaar werk om te doen, ze hebben het voor elkaar gekregen - rekwisieten.
  • Clusterbewerking omzeilen in Databricks Platform; Florian Roth en Marius Bartholdy bij Sec-Consult "(Schreeuw uit voor het nomineren van jezelf 12 keer jongens)"; “Een gebruiker met weinig rechten kon de isolatie tussen Databricks-rekenclusters binnen de grenzen van dezelfde werkruimte en organisatie doorbreken door externe code uit te voeren. Dit zou vervolgens een aanvaller in staat hebben gesteld om toegang te krijgen tot alle bestanden en geheimen in de werkruimte en hun privileges te laten escaleren naar die van een werkruimtebeheerder.” D'Antoine adviseerde droogjes: "Het is de bedoeling dat andere mensen op zijn minst doen alsof ze je nomineren."
  • UNCONTAINED: containerverwarring blootleggen in de Linux-kernel; Jakob Koschel, Pietro Borrello, Daniele Cono D'Elia, Herbert Bos, Cristiano Giuffrida; “UNCONTAINED ontdekt en analyseert containerverwarring: een nieuwe klasse van subtiele typeverwarringsbugs. Veroorzaakt door de alomtegenwoordige (en nauwelijks bestudeerde) introductie van objectgeoriënteerde functies in grote C-programma's, bijvoorbeeld met behulp van de algemene CONTAINER_OF-macro in de Linux-kernel, bieden ze een nieuw en vruchtbaar jachtgebied voor aanvallers en extra verdriet voor verdedigers. Roos en d'Antoine herinnerden zich dat leden van deze groep vorig jaar tweemaal wonnen, voor Beste desktopbug en Meest innovatieve onderzoek.

Beste uitvoering van externe code

  • Onthulling van kwetsbaarheden in Windows Network Load Balancing: onderzoek naar de zwakke punten; @b2ahex; CVE-2023-28240, "Deze kwetsbaarheid maakt het mogelijk om op afstand code uit te voeren zonder enige authenticatie."
  • ClamAV RCE (CVE-2023-20032); @scannell_simon; "ASLR-bypass-techniek maakt 0-click server-side exploits mogelijk"
  • Checkmk RCE ketting; @scryh_; “Het begint allemaal met een beperkte SSRF en eindigt in een volwaardige RCE na het koppelen van 5 kwetsbaarheden. Nogal ongebruikelijk in de webwereld!”

Lamste verkoper

  • Authenticatie Bypass in Mura CMS; Mura-software; "Mura Software claimt de eer voor de bug die aan hen is onthuld (niet door hen) en rekent klanten $ 5000 aan om het te repareren." https://hoyahaxa.blogspot.com/2023/03/authentication-bypass-mura-masa.html. Het publiek joelde toen Roos de flaptekst hardop voorlas.
  • Pinduoduo of "TEMU staat voor Team Up, Exploit Down"; PinDuoDuo; “Pinduoduo werd uit de Android-winkel geslagen omdat ze letterlijke backdoors in hun eigen app hadden geïnstalleerd om hun gebruikers te bespioneren. Na te zijn ontmaskerd door meerdere media- en beveiligingsbedrijven, ontkende Pinduoduo alle beschuldigingen en gaf Google de schuld dat hij het uit de Play Store had gehaald, maar verwijderde snel en stil alle kwaadaardige code en ontbond het team dat eraan werkte. Zelfs CNN pikte het verhaal op.
  • Drie lessen van Threema: analyse van een beveiligde messenger; Driema; "Threema plaatste een nogal chagrijnige blogpost over enkele vulns die werden gerapporteerd door de masterscriptie van een student aan de ETH Zürich." Roos belde Threema's reactie "neerslaan."

De meeste epische mislukkingen

  • "heilige ... bingle we hebben de nofly-lijst"; de administratie voor transportbeveiliging; “De beruchte queer anarchistische hacker Maia Crimew ontdekte de volledige TSA no fly-lijst rondslingeren op internet en de goede gratie hadden om te verhuren iedereen weten ervan.” Roos vroeg: 'Heeft iemand anders zichzelf gezocht? Heeft iemand zichzelf gevonden? Nee? Oke."
  • "Ik werd veroordeeld tot 18 maanden gevangenisstraf wegens terughacken"; Jonathan Manzi; “Deze man nam wraak op het ontslag van een werknemer door hem en zijn nieuwe werkgever te hacken en te belasteren. De wilde rit eindigt met de auteur die een tot God gekomen moment heeft met een dakloze en enkele ineenkrimpende metaforen over kwantummechanica. Hij lijkt relatief weinig berouw en zou waarschijnlijk moeten worden teruggestuurd.' Van Manzi's blogpost, gaf d'Antoine toe: "Het is het lezen waard."
  • De beruchte … Jonathan Scott; Jonathan Scott; "'De enige reden dat hij de FARA niet heeft geschonden, is omdat hij in de eerste plaats waarschijnlijk te dom is om een ​​buitenlandse agent te zijn.' – Een Pwnie-adviseur.” Roos zei: “We dachten erover hem te vragen te stoppen met tweeten. Misschien zouden we dat allemaal moeten doen.”

Epische prestatie

  • Veel gevonden van 0 dag; @_clem1; Clement [Lecigne] verbrandde 33 in-the-wild 0-dagen sinds 2014 en heeft tot dusver dit jaar al 8 0-dagen gevonden. D'Antoine dacht na: 'Als je het in het wild vindt, weet ik niet of dat telt als jouw beestje of niet. Finders keepers misschien? Ik weet het niet."
  • Filiaalgeschiedenis Injectie (BHI / Spectre-BHB); Iemand bij VUsec?; "Het BHI / Spectre-BHB-onderzoek door VUsec toonde aan dat men micro-architectonisch kan knoeien met de Branch History Buffer (in plaats van de Branch Target Buffer) om toch willekeurig kernelgeheugen van onbevoegde gebruikers te lekken met behulp van een Spectre v2-achtige aanval."
  • Compromis van de hele PHP-supply chain, twee keer; @swapgs; “Pwning Composer die elke maand 2 miljard softwarepakketten bedient. Meer dan honderd miljoen van deze verzoeken hadden kunnen worden gekaapt om kwaadaardige afhankelijkheden te verspreiden en miljoenen servers in gevaar te brengen.” https://www.sonarsource.com/blog/securing-developer-tools-a-new-supply-chain-attack-on-php/

Winnaar van de Lifetime Achievement Award: Mudge

Vorig jaar schonk het team een ​​extra beeldje aan Dino Dai Zovi, oprichter van de Pwnie Awards, als de eerste prijs voor levenslange prestaties van de ceremonie. “We hebben besloten dat we dat blijven doen”, zei Roos vorige week in Brooklyn. “Als je het nog niet geraden hebt, gaan we de 2023 Lifetime Achievement Award voor de Pwnie Awards aan Mudge geven. Waar is Mudge? Is hij in de groene kamer?

D'Antoine voegde eraan toe: "We weten dat hij hier is."

Na enkele ogenblikken, Mudge - ook wel Peiter Zatko genoemd, de L0pht-hacker die opgroeide om voor te werken DARPA, Google, Stripe en, meest berucht, Twitter, voordat hij zijn huidige rol bij Rapid7 aanvaardde - kwam backstage uit, gekleed in een raglan-T-shirt met korte mouwen en een zwarte spijkerbroek.

Roos zei: “Dit is een prijs voor je hele leven voor alles wat je hebt gedaan om de industrie te creëren en op een plek te zetten waar deze bestaat en echt is. Dus dankjewel."

Mudge omhelsde Roos, hield toen zijn Pwnie omhoog en zei (zonder microfoon) "Dankjewel."

Op de microfoon zei Mudge: “Het is de gemeenschap, en het is iedereen die dit allemaal mogelijk heeft gemaakt, en ik hou van deze gemeenschap. Dit betekent veel voor me. … Je bent er altijd geweest, en ik hoop dat ik er voor je ben geweest.

Tijdstempel:

Meer van Donkere lezing