认识 2023 年 Pwnie 奖决赛入围者

由柏拉图重新发布

关注： 0

认识 2023 年 Pwnie 奖 PlatoBlockchain 数据智能决赛入围者。垂直搜索。人工智能。

随着 Black Hat USA 2023 的临近，是时候开始思考网络安全奥斯卡奖了普尼奖。小雕像将被分发住在拉斯维加斯 9 月 6 日星期三下午 30:14，今年的终身成就奖 Pwnie 除外，该奖项于 XNUMX 月 XNUMX 日在纽约布鲁克林举行的 Summercon 黑客聚会上颁发，当时宣布了其他提名者。

保证金研究索菲亚·安托万和伊恩·鲁斯介绍了提名者。 Roos 在谈到超过 80 项提名和 30 项决赛入围者时说道，“所有这些都附有研究论文，所以如果你觉得我们没有有效地描述你的特殊缺陷的重要性，那是因为我们没有这样做。”

现在介绍提名者，为简洁起见，采用列表格式。首先是错误的名称；然后是被提名人；然后是对其内容的简短解释，全部用分号分隔。如果存在评论，则评论会出现在项目符号项目的末尾。

最佳桌面错误

计数曝光； @b2ahex； CVE-2022-22036，“鬼祟的恶意软件找到了本地权限升级和沙箱逃逸冒险的新玩伴！” 谈到其重要性，d'Antoine 表示：“这是至少在过去十年中发布的有关 Windows 性能计数器的第一个错误。”
RenderDoc 中的 LPE 和 RCE， CVE-2023-33865 & CVE-2023-33864; Qualys 团队； “针对最新 glibc malloc 的可靠、一次性远程利用” “我认为这里值得大喊大叫的一件很酷的事情是 Qualys 至少在过去五年中获得了 Pwnie 提名，”d'Antoine 说。 “他们做了一些很棒的工作。”
CS:GO：从零到零日； @neodyme；使用逻辑错误进行 RCE Counter Strike。 “当你可以破解互联网点时，为什么还要破解金钱呢？” 达安托万反问道。

最佳移动 bug（哈哈，RIP）

对于此类别，电子表格有两个条目：

“你们没有提名任何东西，lmao”
“今年没有热门作品暗示我们支持 NSO 集团，抱歉 Vice。”

第一个条目非常清楚。正如 d'Antoine 解释的那样，“在过去的几年里，我们看到 Pwnie 奖提名的 bug 数量有所减少，但也只是在网上公布，特别是与移动设备相关的 bug。”

第二个更神秘。显然是在暗示这一点 2022年副文章，正如那篇文章的作者指出的那样 Summercon 第五排。不过，人们可能不得不眯着眼睛看这是否暗示着 NSO 集团的好感。

最佳密码攻击

Matrix 中可实际利用的加密漏洞； @martinralbrecht 和 @claucece；联合实时通信的 Matrix 标准中存在漏洞，尤其是旗舰客户端 Element。两位主持人似乎夸大了他们对这一类别的无知。达安托万大胆地说，“我们知道它们是广泛使用的加密通信软件，”而鲁斯说，“我们看到的主要是关于基地组织的。”
MEGA：可塑性加密出现问题； Matilda Backendal、Miro Haller、Kenny Paterson 教授、博士； “五次破坏性攻击允许用户数据被解密和修改。此外，攻击者有能力将恶意文件注入到客户端仍将进行身份验证的平台中。”
基于视频的密码分析：从设备电源 LED 的视频片段中提取加密密钥；本·纳西； “使用设备 LED 的 RGB 值进行新的密码分析侧通道攻击。” 罗斯说：“这真的很酷。他们基本上记录了手机上的 LED，然后通过 RGB 值，能够以加密方式破解它。”

最佳歌曲

鲁斯为没有时间演奏这些歌曲而道歉，然后主动提出对它们进行口技表演，然后提出异议，“我知道我的穿着很适合这个角色，但它不会兑现。”

“大声喊出《侦察兵》中的雨果[福蒂尔] 感谢您花时间提交此类别的 10 首歌曲，”D'Antoine 说道。 “Pwnie 奖的举办需要整个社区的努力。”

最具创新性的研究

正如鲁斯指出的那样，“其中很多来自侦察同样。“

Apple 的 Lightning 内部：给 iPhone 添加标签以进行模糊测试和利润； @ghidraninja； Thomas [Roth] 开发了一种名为 Tamarin Cable 的 iPhone JTAG 电缆和 Lightning Fuzzer。 https://www.youtube.com/watch?v=8p3Oi4DL0el&t=1s 根据 YouTube 的说法，该视频不再可用，但您仍然可以观看 Roth 的 DEF CON 30 演讲.
尖端 CPU 中的单指令多数据泄漏，又称崩溃； “一些谷歌人”； “EMBARGO'd LOL”——8 年 2023 月 8 日星期二——将在 Black Hat 9/8 和 Usenix 11/XNUMX 上展示。鲁斯指出，禁运将于周二解除，颁奖将于第二天进行，这限制了投票的实用性。
Rowhammer 指纹识别； Hari Venugopalan、Kaustav Goswami、Zainul Abi Din、Jason Lowe-Power、Samuel T. King、Zubair Shafiq； Centauri — Rowhammer 指纹识别 https://arxiv.org/abs/2307.00143

最被低估的研究

RenderDoc 中的 LPE 和 RCE，CVE-2023-33865 和 33864； Qualys 团队； “2023 年，针对最新 glibc malloc 的可靠、一次性远程攻击！加上涉及 XDG 和 systemd 的有趣的本地权限升级。” 这是最佳桌面错误类别的重复。 D'Antoine 表示：“一次性 RCE 的日子已经很少见了，而且这是我们见过的为数不多的情况之一，至少今年是这样。”
激活上下文缓存中毒； Trendmicro 的 Simon Zuckerbraun； “这项提名凸显了一类新的特权升级漏洞，称为激活上下文缓存中毒。这项技术被微软追踪为 KNOTWEED 的奥地利黑客雇佣组织积极使用”
移动网关物联网合作的危险和安全风险缓解；周新安，关佳乐，邢鲁一，钱志云； “这些研究人员发现了影响几乎所有移动网关 (MaaG) 物联网设备的漏洞，并创建了安全的加密协议来帮助保护用户。”

最佳权限升级

URB Excalibur：解决 VMware VM 逃逸难题； @danis_jian，@0x140ce； “该团队成功地跨所有 VMware 虚拟机产品执行了虚拟机逃逸：Workstation、Fusion 和 ESXi（在沙箱内），使其成为去年 pwn2own 上唯一的 VMware 虚拟机逃逸。” Roos 说：“我喜欢这个，因为 VMware 的逃脱确实很困难，而这些人却设法找到了一个。 ……这是一项非常艰苦的工作，他们成功了——道具。”
绕过Databricks平台中的集群操作； Sec-Consult 的弗洛里安·罗斯 (Florian Roth) 和马吕斯·巴托尔迪 (Marius Bartholdy) “（为自己提名 12 次而欢呼吧伙计们）”； “低权限用户能够通过获得远程代码执行来打破同一工作区和组织边界内的 Databricks 计算集群之间的隔离。随后，攻击者将能够访问工作区中的所有文件和机密，并将其权限升级为工作区管理员的权限。” 德安托万干巴巴地建议道：“你应该让其他人至少假装提名你。”
UNCONTAINED：揭示 Linux 内核中的容器混乱；雅各布·科舍尔、彼得罗·博雷洛、丹尼尔·科诺·德埃利亚、赫伯特·博斯、克里斯蒂亚诺·朱弗里达； “UNCONTAINED 发现并分析了容器混淆：一类新颖的微妙类型混淆错误。由于在大型 C 程序中普遍（且几乎没有研究）引入面向对象的功能，例如在 Linux 内核中使用常见的 CONTAINER_OF 宏，它们为攻击者提供了新的、肥沃的狩猎场，并为防御者带来了额外的痛苦。” 鲁斯和达托万记得去年这个小组的成员赢得了两次胜利，因为最佳桌面错误和最具创新性的研究.

最佳远程代码执行

揭示 Windows 网络负载平衡中的漏洞：探索弱点； @b2ahex； CVE-2023-28240，“此漏洞允许远程执行代码，无需任何身份验证。”
ClamAV RCE（CVE-2023-20032）； @scannell_simon； “ASLR 绕过技术可实现 0 点击服务器端攻击”
Checkmk RCE链； @scryh_； “这一切都是从有限的 SSRF 开始，到链接 5 个漏洞后以全面的 RCE 结束。在网络世界中相当罕见！”

最蹩脚的供应商

Mura CMS 中的身份验证绕过；穆拉软件； “Mura Software 声称对向他们（而不是他们）披露的错误负责，并向客户收取 5000 美元的修复费用。” https://hoyahaxa.blogspot.com/2023/03/authentication-bypass-mura-masa.html。当鲁斯大声朗读这段简介时，人群发出了嘘声。
拼多多或“TEMU代表Team Up，Exploit Down”；拼多多； “拼多多因在自己的应用程序中安装后门来监视用户而被从 Android 商店下架。在被多家媒体和安全公司曝光后，拼多多否认了所有指控，并指责谷歌将其从Play商店下架，但又迅速、默默地删除了所有恶意代码，并解散了相关团队。甚至 CNN 报道了这个故事.
Threema 的三个教训：安全信使分析；三马； “Threema 发布了一篇相当古怪的博客文章，对苏黎世联邦理工学院一名学生硕士论文报告的一些漏洞进行了攻击。” 鲁斯打来电话三马的回应 “一拳下去。”

最史诗般的失败

“天哪……我们有 nofly 名单”；运输安全管理局； “臭名昭著的酷儿无政府主义黑客 Maia Crimew 发现了整个 TSA 禁飞名单躺在互联网上并有幸让每个人知道这件事。” 鲁斯问道：“还有其他人在寻找自己吗？有人找到自己了吗？不？好的。”
“我因黑客攻击被判入狱 18 个月”；乔纳森·曼齐； “这个人对一名辞职的员工进行了报复，对他和他的新雇主进行了黑客攻击和诽谤。这段狂野的旅程以作者与一个无家可归者的恍然大悟以及一些关于量子力学的令人畏惧的隐喻结束。他看起来相对不悔改，可能应该被送回去。” 的蛮子的博文”，安托万承认，“值得一读。”
声名狼藉的……乔纳森·斯科特；乔纳森斯科特; “‘他没有违反《外国代理人登记法》的唯一原因是，他可能太蠢了，根本不适合当外国特工。’ – Pwnie 顾问。” 鲁斯说：“我们正在考虑要求他停止发推文。也许我们都应该这样做。”

史诗成就

发现大量0day； @_clem1； Clement [Lecigne] 自 33 年以来已在野外烧毁了 0 个 2014day，今年迄今已发现 8 个 0day。安托万想道：“如果你在野外发现它，我不知道这算不算你的虫子。也许是发现者和守门员？我不知道。”
分支历史注入（BHI / Spectre-BHB）； VUsec 的有人吗？ “VUsec 的 BHI / Spectre-BHB 研究表明，人们可以在微架构上篡改分支历史缓冲区（而不是分支目标缓冲区），从而使用 Spectre v2 式攻击仍然从非特权用户泄漏任意内核内存。”
整个 PHP 供应链被入侵两次； @交换； “Pwning Composer 每月为 2 亿个软件包提供服务。其中超过一亿个请求可能被劫持以分发恶意依赖项并危害数百万台服务器。” https://www.sonarsource.com/blog/securing-developer-tools-a-new-supply-chain-attack-on-php/