Conheça os finalistas do Pwnie Awards 2023

Com a Black Hat USA 2023 se aproximando, é hora de começar a pensar no Oscar da segurança cibernética, o Prêmios Pwnie. As estatuetas serão entregues viver em Las Vegas na quarta-feira, 9 de agosto, às 6h30 - com exceção do Lifetime Achievement Pwnie deste ano, que foi premiado no encontro de hackers Summercon no Brooklyn, Nova York, em 14 de julho, quando os outros indicados foram anunciados.

pesquisa de margem Sophia d'Antoine e Ian Roos apresentou os indicados. Roos disse sobre as mais de 80 indicações e 30 finalistas: “Todos eles têm trabalhos de pesquisa anexados a eles, então, se você acha que não fizemos um trabalho eficaz em caracterizar a importância do seu bug especial, é porque não o fizemos. ”

Agora para os indicados, em formato de lista para brevidade. Primeiro vem o nome do bug; depois o indicado; e depois uma breve explicação do que é, tudo separado por ponto e vírgula. Onde existe, o comentário aparece no final do item de marcador.

Melhor Bug da Área de Trabalho

• ContagemExposição; @b2ahex; CVE-2022-22036, “Malware sorrateiro encontrou um novo parceiro para escalonamento de privilégios locais e aventuras de fuga em sandbox!” Sobre sua importância, d'Antoine disse: “É o primeiro bug lançado pelo menos na última década sobre contadores de desempenho no Windows”.
• LPE e RCE em RenderDoc, CVE-2023-33865 & CVE-2023-33864; a equipe Qualys; “Um exploit remoto confiável e único contra o mais recente glibc malloc” “Acho que o mais legal de se destacar aqui é que a Qualys foi indicada ao Pwnie pelo menos nos últimos cinco anos”, disse d'Antoine. “Eles fazem um ótimo trabalho.”
• CS:GO: De zero a 0 dias; @neodyme; Usei bugs lógicos no RCE Counter Strike. “Por que hackear por dinheiro quando você pode hackear por pontos de Internet?” d'Antoine perguntou retoricamente.

Melhor bug móvel (Lol RIP)

Para esta categoria, a planilha tinha duas entradas:

• “vocês não nomearam nada lmao”
• “nenhuma peça de sucesso insinuando que apoiamos o NSO Group este ano, desculpe Vice.”

A primeira entrada é bastante clara. Como explicou d'Antoine, “ao longo dos últimos anos, vimos uma diminuição na quantidade de bugs nomeados para o Pwnie Awards, mas também apenas divulgados online, relacionados especificamente a dispositivos móveis”.

A segunda é mais enigmática. Aparentemente alude a isso Vice-artigo de 2022, como o escritor dessa peça apontou do que parece ser o quinta fila no Summercon. Pode-se ter que apertar os olhos para ver isso como implicando uma opinião favorável do NSO Group, no entanto.

Melhor Ataque Criptográfico

• Vulnerabilidades criptográficas praticamente exploráveis ​​no Matrix; @martinralbrecht e @claucece; vulns no padrão Matrix para comunicações federadas em tempo real e especialmente o principal cliente, Element. Os dois anfitriões pareciam exagerar sua ignorância sobre esta categoria. d'Antoine arriscou: “Sabemos que são softwares amplamente usados ​​para comunicação criptografada”, enquanto Roos disse: “Vimos principalmente sobre a Al Qaeda”.
• MEGA: Criptografia maleável dá errado; Matilda Backendal, Miro Haller, Prof. Dr. Kenny Paterson; “cinco ataques devastadores que permitem que os dados do usuário sejam descriptografados e modificados. Além disso, os invasores têm a capacidade de injetar arquivos maliciosos na plataforma que os clientes ainda irão autenticar.”
• Análise criptográfica baseada em vídeo: extração de chaves criptográficas de imagens de vídeo do LED de energia de um dispositivo; Ben Nassi; “novo ataque criptoanalítico de canal lateral usando os valores RGB do LED do dispositivo.” Roos disse: “Este é muito legal. Eles basicamente gravaram um LED em um telefone e, por meio dos valores RGB, conseguiram quebrá-lo criptograficamente.”

Melhor música

Roos se desculpou por não ter tempo para tocar as músicas e se ofereceu para fazer um beatbox antes de objetar: "Sei que estou vestido para o papel, mas não vai funcionar".

"Gritar para Hugo [Fortier] do Recon por dedicar seu tempo para enviar, tipo, 10 músicas nesta categoria”, disse D'Antoine. “É preciso a comunidade para fazer o Pwnie Awards acontecer.”

Pesquisa mais inovadora

Como Roos apontou, “muitos deles eram de Recon também."

• Dentro do Lightning da Apple: Jtagging do iPhone para Fuzzing e Lucro; @ghidraninja; Thomas [Roth] desenvolveu um cabo JTAG para iPhone chamado Tamarin Cable e um Lightning Fuzzer. https://www.youtube.com/watch?v=8p3Oi4DL0el&t=1s Esse vídeo não está mais disponível, segundo o YouTube, mas você ainda pode ver Apresentação DEF CON 30 de Roth.
• Instrução única Vazamentos de dados múltiplos em CPUs de ponta, AKA Downfall; “Algumas pessoas do Google”; “EMBARGO'd LOL” — terça-feira, 8 de agosto de 2023 — será apresentado no Black Hat 8/9 e no Usenix 8/11. Roos observou que o embargo termina na terça-feira e os prêmios são no dia seguinte, o que limita a praticidade de votar nele.
• Impressão digital Rowhammer; Hari Venugopalan, Kaustav Goswami, Zainul Abi Din, Jason Lowe-Power, Samuel T. King, Zubair Shafiq; Centauri — Impressão digital Rowhammer https://arxiv.org/abs/2307.00143

Pesquisa mais subestimada

• LPE e RCE em RenderDoc, CVE-2023-33865 & 33864; a equipe Qualys; “Um exploit remoto confiável e único contra o mais recente glibc malloc, em 2023! Além de uma escalação de privilégio local divertida envolvendo XDG e systemd.” Esta é uma repetição da categoria Best Desktop Bug. D'Antoine disse: "Os dias de RCEs one-shot são poucos e distantes agora, e este é um dos poucos que vimos, pelo menos este ano."
• Envenenamento de Cache de Contexto de Ativação; Simon Zuckerbraun na Trendmicro; “Esta nomeação destaca uma nova classe de vulnerabilidades de escalonamento de privilégios, conhecida como envenenamento de cache de contexto de ativação. Essa técnica estava sendo usada ativamente por um grupo austríaco de hackers de aluguel, rastreado pela Microsoft como KNOTWEED”
• Perigos e Mitigação de Riscos de Segurança de Cooperação em Mobile-as-a-Gateway IoT; Xin'an Zhou, Jiale Guan, Luyi Xing, Zhiyun Qian; “Esses pesquisadores descobriram vulnerabilidades que afetaram quase todos os dispositivos IoT Mobile-as-a-Gateway (MaaG) e criaram protocolos criptográficos seguros para ajudar a proteger seus usuários.”

Melhor Escalação de Privilégios

• URB Excalibur: cortando o nó górdio das fugas de VM VMware; @danis_jiang, @0x140ce; “Esta equipe executou com sucesso VM escapes em todos os produtos de máquina virtual VMware: Workstation, Fusion e ESXi (dentro da sandbox), tornando-se a única VM VMware escape em pwn2own no ano passado.” Roos disse: “Adoro isso porque as fugas do VMware são realmente difíceis e esses caras conseguiram encontrar uma. … É um trabalho muito difícil de fazer, eles conseguiram - adereços.
• Ignorando a operação de cluster na plataforma Databricks; Florian Roth e Marius Bartholdy na Sec-Consult “(grite por se nomearem 12 vezes, rapazes)”; “Um usuário com poucos privilégios conseguiu quebrar o isolamento entre os clusters de computação do Databricks dentro do limite do mesmo espaço de trabalho e organização obtendo a execução remota de código. Posteriormente, isso permitiria que um invasor acessasse todos os arquivos e segredos no espaço de trabalho, além de aumentar seus privilégios para os de um administrador do espaço de trabalho.” D'Antoine aconselhou secamente: "Você deve fazer com que outras pessoas pelo menos finjam que o indicaram."
• UNCONTAINED: Descobrindo a confusão de contêineres no Kernel do Linux; Jakob Koschel, Pietro Borrello, Daniele Cono D'Elia, Herbert Bos, Cristiano Giuffrida; “O UNCONTAINED descobre e analisa a confusão de contêineres: uma nova classe de bugs de confusão de tipo sutil. Causados ​​pela introdução generalizada (e pouco estudada) de recursos orientados a objetos em grandes programas C, por exemplo, usando a macro comum CONTAINER_OF no kernel do Linux, eles fornecem um novo e fértil campo de caça para invasores e sofrimento adicional para os defensores. Roos e d'Antoine lembraram que os integrantes desse grupo venceram duas vezes no ano passado, por Melhor Bug da Área de Trabalho e Pesquisa mais inovadora.

Melhor Execução Remota de Código

• Revelando Vulnerabilidades no Balanceamento de Carga de Rede do Windows: Explorando as Fraquezas; @b2ahex; CVE-2023-28240, “Esta vulnerabilidade permite a execução remota de código sem exigir qualquer autenticação.”
• ClamAV RCE (CVE-2023-20032); @scannell_simon; “Técnica de desvio de ASLR permitindo exploits do lado do servidor com 0 cliques”
• cadeia Checkmk RCE; @scryh_; “Tudo começa com um SSRF limitado e termina em um RCE completo após o encadeamento de 5 vulnerabilidades. Bastante incomum no mundo da web!”

Fornecedor Lamest

• Bypass de Autenticação no Mura CMS; Mura Software; “A Mura Software reivindica o crédito pelo bug divulgado a eles (não por eles) e cobra dos clientes US$ 5000 para consertá-lo.” https://hoyahaxa.blogspot.com/2023/03/authentication-bypass-mura-masa.html. A multidão vaiou quando Roos leu a sinopse em voz alta.
• Pinduoduo ou “TEMU significa Team Up, Exploit Down”; PinDuoDuo; “Pinduoduo foi eliminado da loja Android por instalar backdoors literais em seu próprio aplicativo para espionar seus usuários. Depois de ser exposto por várias empresas de mídia e segurança, Pinduoduo negou todas as acusações e culpou o Google por retirá-lo da Play Store, mas excluiu rápida e silenciosamente todo o código malicioso e desfez a equipe que trabalhava nele”. Até CNN pegou a história.
• Três lições de Threema: Análise de um Mensageiro Seguro; Threema; “Threema postou uma postagem de blog bastante mal-humorada mergulhando em algumas vulnerabilidades relatadas pela tese de mestrado de um aluno na ETH Zurich.” Roos ligou resposta de threema “socando”.

Falha mais épica

• “caramba… bingle temos a lista nofly”; A Administração de Segurança de Transporte; “A notória hacker anarquista queer Maia Crimew descobriu o toda a lista no fly da TSA por aí na internet e teve a boa graça de deixar todos sabe disso.” Roos perguntou: “Alguém mais procurou por si mesmo? Alguém se encontrou? Não? Tudo bem."
• “Fui condenado a 18 meses de prisão por hacking back”; Jonathan Manzi; “Esse cara retaliou contra a demissão de um funcionário hackeando e difamando ele e seu novo empregador. O passeio selvagem termina com o autor tendo um momento de Deus com um sem-teto e algumas metáforas assustadoras sobre a mecânica quântica. Ele parece relativamente impenitente e provavelmente deveria ser enviado de volta.” De postagem no blog de Manzi, d'Antoine admitiu: “Vale a pena ler.”
• O de má reputação … Jonathan Scott; Jonathan Scott; “'A única razão pela qual ele não violou a FARA é porque ele provavelmente é muito estúpido para ser um agente estrangeiro em primeiro lugar.' – Um consultor Pwnie.” Roos disse: “Estávamos pensando em pedir a ele para parar de twittar. Talvez todos devêssemos.

Conquista épica

• Lotes encontrados de 0 dia; @_clem1; Clement [Lecigne] queimou 33 dias 0 na natureza desde 2014 e já encontrou 8 dias 0 até agora este ano. D'Antoine ponderou: “Se você o encontrar na natureza, não sei se isso conta como seu inseto ou não. Guardiões dos localizadores, talvez? Não sei."
• Branch History Injection (BHI / Spectre-BHB); Alguém da VUsec?; “A pesquisa BHI / Spectre-BHB da VUsec mostrou que é possível adulterar com microarquitetura o Branch History Buffer (em vez do Branch Target Buffer) para ainda vazar memória arbitrária do kernel de um usuário sem privilégios usando um ataque no estilo Spectre v2.”
• Compromisso de toda a cadeia de abastecimento PHP, duas vezes; @swapgs; “Pwning Composer, que atende a 2 bilhões de pacotes de software todos os meses. Mais de cem milhões dessas solicitações podem ter sido sequestradas para distribuir dependências maliciosas e comprometer milhões de servidores.” https://www.sonarsource.com/blog/securing-developer-tools-a-new-supply-chain-attack-on-php/

Vencedor do Lifetime Achievement Award: Mudge

No ano passado, a equipe entregou uma estatueta extra para Dino Dai Zovi, fundador do Pwnie Awards, como o primeiro prêmio pelo conjunto da cerimônia. “Decidimos que vamos continuar fazendo isso”, disse Roos no Brooklyn na semana passada. “Se você ainda não adivinhou, vamos dar o prêmio 2023 Lifetime Achievement Award pelo Pwnie Awards para Mudge. Onde está Mudge? Ele está na sala verde?

D'Antoine acrescentou: "Sabemos que ele está aqui".

Depois de alguns momentos, Mudge - às vezes chamado de Peiter Zatko, o hacker L0pht que cresceu para trabalhar para DARPA, Google, Stripe e, mais notoriamente, o Twitter, antes de aceitar seu cargo atual no Rapid7 - saiu dos bastidores, vestindo uma camiseta raglan de manga curta e jeans preto.

Roos disse: “Este é um prêmio pelo conjunto da obra por tudo o que você fez para criar a indústria e colocá-la em um lugar onde ela existe e é real. Então, obrigado.

Mudge abraçou Roos, então ergueu seu Pwnie e disse (fora do microfone) “Obrigado.”

No microfone, Mudge disse: “É a comunidade e todos os outros que possibilitaram tudo isso, e eu amo essa comunidade. Isto significa muito para mim. … Você sempre esteve lá, e espero ter estado lá para você.”

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Automotivo / EVs, Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• BlockOffsets. Modernizando a Propriedade de Compensação Ambiental. Acesse aqui.
• Fonte: https://www.darkreading.com/edge/meet-the-finalists-for-the-2023-pwnie-awards