На конференции Black Hat USA 2023 объявлены победители ежегодной премии Pwnie Awards 2023, выделяющей наиболее значительные уязвимости и абсурдные провалы в области компьютерной безопасности. Pwnie Awards считается аналогом Оскара и Золотой малины в области компьютерной безопасности.
Основные победители:
Лучшая уязвимость, приводящая к повышению привилегий. Победа присуждена уязвимости USB Excalibur (CVE-2022-31705) в реализации USB-контроллера, применяемого в продуктах виртуализации VMware ESXi, Workstation и Fusion. Уязвимость позволяет получить доступ к хост-окружению из гостевой системы и выполнить код с правами процесса VMX. Среди номинантов отмечается серия уязвимости в ядре Linux, связанная с использованием небезопасного макроса container_of().
Лучшая уязвимость, приводящая к удалённому выполнению кода. Победа присуждена уязвимости (CVE-2023-20032) в свободном антивирусном пакете ClamAV, позволяющей выполнить код при сканировании файлов со специально оформленными дисковыми образами в формате HFS+ (например, при сканировании на почтовом сервере файлов, извлекаемых из писем). В числе номинантов упоминались уязвимости в системе мониторинга Checkmk и балансировщике нагрузки Windows (CVE-2023-28240).
Лучшая криптографическая атака. Присуждается за выявление наиболее значимых брешей в реальных системах, протоколах и алгоритмах шифрования. Победу одержал метод атак по сторонним каналам, позволяющий удалённо восстановить значения ключей шифрования на базе алгоритмов ECDSA и SIKE через анализ видео с камеры, снимающей светодиодный индикатор ридера смарт-карт или устройства, подключённого к одному USB-хабу со смартфоном, производящим операции с ключом. В числе номинантов также были проблемы с шифрованием, компрометирующие сквозное шифрование во многих Matrix-клиентах.
Наиболее инновационное исследование. Победа присуждена исследованию, показавшему возможность использования разъёма Apple Lightning для доступа к отладочному JTAG-интерфейсу iPhone и получения полного контроля за устройством. Среди номинантов также были атака Downfall на CPU Intel и анализ применения метода атаки Rowhammer на память DRAM для создания уникальных идентификаторов.
Самое недооцененное исследование. Победителем стало исследование сотрудника компании Trendmicro, выявившее новый класс уязвимостей в Windows CSRSS, позволяющих повысить свои привилегии через отравление кэша контекстов активации. Среди номинантов упомянуты уязвимости, затрагивающие почти все IoT-устройства Mobile-as-a-Gateway (MaaG), а также уязвимости в отладчике Renderdoc, вызванные целочисленным переполнением и ошибкой при работе с символическими ссылками.
Самый большой провал (Most Epic FAIL). Премию получила Администрация транспортной безопасности США, которая забыла ограничить доступ к публично доступному хранилищу Elasticsearch, на котором, среди прочего, находился список лиц, которых запрещено пускать в самолёты (No Fly List).
Лучшая ошибка в клиентском ПО. Победителем стала уязвимость CVE-2022-22036 в механизме Performance Counters, позволяющая повысить свои привилегии на платформе Windows.
Самая ламерская реакция производителя (Lamest Vendor Response). Номинация за самую неадекватную реакцию на сообщение об уязвимости в собственном продукте. Победа присуждена компании Threema, которая капризно отреагировала на анализ безопасности протокола "безопасного" мессенджера данной компании и не посчитала серьёзными выявленные критические проблемы.
Самое большое достижение. Победа присуждена Клементу Лесину (Clement Lecigne) из Google Threat Analysis Group за работу по выявлению 33 0-day уязвимостей, используемых для атак на Chrome, iOS и Android.
https://opennet.ru/59577-pwnie