Познакомьтесь с финалистами премии Pwnie Awards 2023

Переиздано Платоном

Читают: 0

Познакомьтесь с финалистами премии Pwnie Awards 2023 PlatoBlockchain Data Intelligence. Вертикальный поиск. Ай.

В преддверии конкурса Black Hat USA 2023 пришло время задуматься об «Оскаре» в области кибербезопасности. Награды Пуни. Статуэтки будут розданы жить в Лас-Вегасе в среду, 9 августа, в 6:30 – за исключением награды Pwnie за заслуги перед жизнью, которая была вручена на встрече хакеров Summercon в Бруклине, Нью-Йорк, 14 июля, когда были объявлены другие номинанты.

Маржинальные исследования София д'Антуан и Ян Роос представил номинантов. Роос сказал о более чем 80 номинациях и 30 финалистах: «К каждому из них прилагаются исследовательские работы, поэтому, если вы чувствуете, что мы не проделали эффективную работу по описанию того, насколько важна была ваша особая ошибка, то это потому, что мы этого не сделали. »

Теперь о номинантах, для краткости в виде списка. Сначала идет название ошибки; затем кандидат; а затем краткое объяснение того, что это такое, разделенное точкой с запятой. Там, где он существует, комментарий появляется в конце пункта списка.

Лучшая настольная ошибка

Подсчет экспозиции; @b2ahex; CVE-2022-22036, «Подлый вредоносный код нашел нового товарища по играм для локального повышения привилегий и приключений по побегу из песочницы!» О ее важности д'Антуан сказал: «Это первая ошибка счетчиков производительности в Windows, выпущенная по крайней мере за последнее десятилетие».
LPE и RCE в RenderDoc, CVE-2023-33865 & CVE-2023-33864; команда Qualys; «Надежный, одноразовый удаленный эксплойт против последней версии glibc malloc». «Я думаю, что здесь стоит упомянуть, что Qualys номинировался на Pwnie в течение как минимум последних пяти лет», — сказал д'Антуан. «Они делают отличную работу».
CS:GO: От нуля до нулевого дня; @neodyme; использовали логические ошибки в RCE Counter Strike. «Зачем взламывать деньги, если можно взломать интернет-очки?» — задал риторический вопрос д'Антуан.

Лучшая мобильная ошибка (Lol RIP)

Для этой категории в таблице было две записи:

«вы ничего не выдвигали, ммао»
«Нет статей, подразумевающих, что мы поддерживаем NSO Group в этом году, извините, Вайс».

Первая запись довольно ясна. Как объяснил д'Антуан: «За последние несколько лет мы наблюдаем уменьшение количества ошибок, номинированных на премию Pwnie Awards, а также только что опубликованных в Интернете, особенно связанных с мобильными устройствами».

Второе более загадочно. Видимо, на это намекает Вице-статья от 2022 года, как отметил автор этой статьи, исходя из того, что выглядит как пятый ряд на Summercon. Однако, возможно, придется прищуриться, чтобы увидеть в этом положительное мнение о NSO Group.

Лучшая криптографическая атака

Практически эксплуатируемые криптографические уязвимости в Matrix; @martinralbrecht и @claucece; уязвимости в стандарте Matrix для федеративных коммуникаций в реальном времени и особенно во флагманском клиенте Element. Два хозяина, казалось, преувеличивали свое незнание этой категории. Д'Антуан рискнул: «Мы знаем, что это широко используемое программное обеспечение для зашифрованной связи», а Роос сказал: «Мы видели это в основном об Аль-Каиде».
МЕГА: Гибкое шифрование выходит из строя; Матильда Бэкендаль, Миро Халлер, профессор доктор Кенни Патерсон; «Пять разрушительных атак, которые позволяют расшифровывать и изменять пользовательские данные. Кроме того, злоумышленники имеют возможность внедрять в платформу вредоносные файлы, которые клиенты все равно будут аутентифицировать».
Криптоанализ на основе видео: извлечение криптографических ключей из видеозаписи индикатора питания устройства; Бен Насси; «новая криптоаналитическая атака по побочному каналу с использованием значений RGB светодиода устройства». Роос сказал: «Это действительно круто. По сути, они записали светодиод на телефон, а затем, используя значения RGB, смогли его криптографически взломать».

Лучшая песня

Роос извинился за то, что у него нет времени исполнять песни, затем предложил их битбоксить, прежде чем возразить: «Я знаю, что одет для этой роли, но это не сработает».

"Крикнуть Хьюго [Фортье] из Recon за то, что нашли время представить около 10 песен в этой категории», — сказал Д'Антуан. «Чтобы премия Pwnie Awards состоялась, нужно сообщество».

Самые инновационные исследования

Как отметил Роос, «многие из них были из Recon также."

Внутри Apple Lightning: маркировка iPhone для получения прибыли и интереса; @ghidraninja; Томас [Рот] разработал JTAG-кабель для iPhone под названием Tamarin Cable и Lightning Fuzzer. https://www.youtube.com/watch?v=8p3Oi4DL0el&t=1s По данным YouTube, это видео больше не доступно, но вы все равно можете его просмотреть. Презентация Roth DEF CON 30.
Множественные утечки данных в одной инструкции в новейших процессорах, также известные как падение; «Некоторые гуглеры»; «EMBARGO'd LOL» — вторник, 8 августа 2023 г. — будет представлен на Black Hat 8/9 и Usenix 8/11. Роос отметил, что эмбарго снимается во вторник, а награждение состоится на следующий день, что ограничивает практичность голосования за него.
Отпечатки пальцев Rowhammer; Хари Венугопалан, Каустав Госвами, Зайнул Аби Дин, Джейсон Лоу-Пауэр, Сэмюэл Т. Кинг, Зубайр Шафик; Центавра — отпечатки пальцев Роудхаммера https://arxiv.org/abs/2307.00143

Самое недооцененное исследование

LPE и RCE в RenderDoc, CVE-2023-33865 и 33864; команда Qualys; «Надежный одноразовый удаленный эксплойт против последней версии glibc malloc в 2023 году! Плюс забавное локальное повышение привилегий с использованием XDG и systemd». Это повтор из категории «Лучшая настольная ошибка». Д'Антуан сказал: «Дни одноразовых RCE сейчас очень редки, и это одно из немногих, что мы видели, по крайней мере, в этом году».
Отравление кэша контекста активации; Саймон Цукербраун из Trendmicro; «Эта номинация подчеркивает новый класс уязвимостей повышения привилегий, известный как отравление кэша контекста активации. Эту технику активно использовала австрийская группа хакеров по найму, отслеживаемая Microsoft как KNOTWEED».
Риски и снижение рисков безопасности при сотрудничестве в сфере Интернета вещей «мобильные устройства как шлюз»; Синьань Чжоу, Цзялэ Гуань, Луйи Син, Чжиюнь Цянь; «Эти исследователи обнаружили уязвимости, которые затронули почти все IoT-устройства Mobile-as-a-Gateway (MaaG), и создали безопасные криптографические протоколы, которые помогут защитить своих пользователей».

Лучшее повышение привилегий

URB Excalibur: разрезая гордиев узел побегов VMware VM; @danis_jiang, @0x140ce; «Эта команда успешно выполнила побег VM для всех продуктов виртуальных машин VMware: Workstation, Fusion и ESXi (внутри песочницы), что сделало это единственным побегом VMware на pwn2own в прошлом году». Роос сказал: «Мне это нравится, потому что побег из VMware действительно труден, и этим ребятам удалось его найти. … Это очень тяжелая работа, они справились – реквизит».
Обход работы кластера на платформе Databricks; Флориан Рот и Мариус Бартольди из Sec-Consult «(Приветствуйте, что номинировали себя 12 раз, ребята)»; «Пользователь с низким уровнем привилегий смог нарушить изоляцию между вычислительными кластерами Databricks в пределах одного рабочего пространства и организации, получив удаленное выполнение кода. Впоследствии это позволило бы злоумышленнику получить доступ ко всем файлам и секретам в рабочей области, а также повысить его привилегии до привилегий администратора рабочей области». Д'Антуан сухо посоветовал: «Вы должны заставить других людей хотя бы притвориться, что выдвигаете вашу кандидатуру».
UNCONTAINED: выявление путаницы с контейнерами в ядре Linux; Якоб Кошель, Пьетро Боррелло, Даниэле Коно Д'Элиа, Герберт Бос, Криштиану Джуффрида; «UNCONTAINED обнаруживает и анализирует путаницу контейнеров: новый класс тонких ошибок путаницы типов. Вызванные повсеместным (и едва изученным) внедрением объектно-ориентированных функций в большие программы на языке C, например, использованием общего макроса CONTAINER_OF в ядре Linux, они предоставляют новую и плодородную охотничью почву для злоумышленников и дополнительные неприятности для защитников». Роос и д'Антуан вспомнили, что в прошлом году члены этой группы дважды побеждали. Лучшая настольная ошибка и Самые инновационные исследования.

Лучшее удаленное выполнение кода

Выявление уязвимостей в балансировке сетевой нагрузки Windows: исследование слабых мест; @b2ahex; CVE-2023-28240, «Эта уязвимость позволяет удаленно выполнять код без необходимости аутентификации».
ClamAV RCE (CVE-2023-20032); @scannell_simon; «Техника обхода ASLR, позволяющая использовать эксплойты на стороне сервера в 0 кликов»
Цепочка Checkmk RCE; @scryh_; «Все начинается с ограниченного SSRF и заканчивается полноценным RCE после объединения 5 уязвимостей. Довольно необычно в мире Интернета!»

Самый отстойный продавец

Обход аутентификации в Mura CMS; Мура Программное обеспечение; «Mura Software берет на себя ответственность за обнаруженную им (а не ими) ошибку и взимает с клиентов 5000 долларов за ее исправление». https://hoyahaxa.blogspot.com/2023/03/authentication-bypass-mura-masa.html. Толпа зашипела, когда Роос прочитал аннотацию вслух.
Pinduoduo или «TEMU означает Team Up, Exploit Down»; ПинДуоДуо; «Pinduoduo удалили из магазина Android за установку в собственное приложение бэкдоров с целью шпионить за пользователями. После того, как его разоблачили многочисленные СМИ и охранные компании, Pinduoduo отверг все обвинения и обвинил Google в удалении его из Play Store, однако быстро и молча удалил весь вредоносный код и распустил команду, работавшую над ним». Даже CNN подхватил эту историю.
Три урока от Threema: анализ защищенного мессенджера; Трима; «Трима опубликовала довольно раздражительную публикацию в блоге, посвященную некоторым уязвимостям, описанным в магистерской диссертации студента в ETH Zurich». Роос позвонил Ответ Threema «удар вниз».

Самый эпический провал

«Святой… черт возьми, у нас есть бесценный список»; Управление транспортной безопасности; «Печально известная странная анархистка-хакер Майя Кримью обнаружила весь список TSA, запрещенный для полетов валялся в Интернете и имел благосклонность позволить все члены знать об этом». Роос спросил: «Кто-нибудь еще искал себя?» Кто-нибудь нашел себя? Нет? Все в порядке."
«Меня приговорили к 18 месяцам тюремного заключения за хакерство»; Джонатан Манзи; «Этот парень отомстил уволившемуся сотруднику, взломав и оклеветав его и его нового работодателя. Дикая поездка заканчивается тем, что автор приходит к Богу с бездомным и некоторыми съеживающимися метафорами о квантовой механике. Кажется, он относительно не раскаивается, и, вероятно, его следует отправить обратно». Из Сообщение в блоге Манзид'Антуан признал: «Это стоит прочитать».
Позорный… Джонатан Скотт; Джонатан Скотт; «Единственная причина, по которой он не нарушил FARA, заключается в том, что он, вероятно, слишком глуп, чтобы быть иностранным агентом». – Консультант Пуни. Роос сказал: «Мы подумывали попросить его прекратить писать в Твиттере. Возможно, нам всем стоит это сделать».

Эпическое достижение

Найдены лоты за 0 дней; @_clem1; Клеман [Лесинь] сжег в дикой природе 33 0-дня с 2014 года и уже в этом году нашел 8 0-дней. Д'Антуан задумался: «Если вы найдете это в дикой природе, я не знаю, считается ли это вашей ошибкой или нет. Хранители Искателей, может быть? Я не знаю."
Внедрение истории ветвей (BHI/Spectre-BHB); Кто-нибудь из VUsec?; «Исследование BHI/Spectre-BHB, проведенное VUsec, показало, что можно микроархитектурно подделать буфер истории ветвей (а не целевой буфер ветвей), чтобы по-прежнему утечь произвольную память ядра от непривилегированного пользователя с помощью атаки в стиле Spectre v2».
Двойная компрометация всей цепочки поставок PHP; @свопгс; «Pwning Composer, который обслуживает 2 миллиарда пакетов программного обеспечения каждый месяц. Более ста миллионов этих запросов могли быть перехвачены для распространения вредоносных зависимостей и компрометации миллионов серверов». https://www.sonarsource.com/blog/securing-developer-tools-a-new-supply-chain-attack-on-php/

Обладатель премии за выдающиеся заслуги: Мадж

В прошлом году команда подарила дополнительную статуэтку Дино Дай Зови, основатель премии Pwnie Awards, как первой награды церемонии за достижения в жизни. «Мы решили, что будем продолжать это делать», — заявил Роос в Бруклине на прошлой неделе. «Если вы еще не догадались, мы собираемся вручить Маджу премию Pwnie Awards за выдающиеся достижения в 2023 году. Где Мадж? Он в зеленой комнате?

Д'Антуан добавил: «Мы знаем, что он здесь».

Через несколько мгновений Мадж, которого иногда называют Пейтер Затко, хакер L0pht, выросший, чтобы работать на DARPA, Google, Stripe и, самое печально известное, Твиттер, прежде чем принять свою нынешнюю роль в Rapid7, вышел из-за кулис в футболке реглан с короткими рукавами и черных джинсах.

Роос сказал: «Это награда за заслуги перед жизнью за все, что вы сделали для создания отрасли и того места, где она существует и является реальной. Так что спасибо тебе."

Мадж обнял Руса, затем поднял своего Пуни и сказал (без микрофона): «Спасибо».

В микрофон Мадж сказал: «Это сообщество, и все остальные сделали все это возможным, и я люблю это сообщество. Это очень много значит для меня. … Ты всегда был рядом, и я надеюсь, что я был рядом с тобой».