Определены победители ежегодной премии Pwnie Awards 2020, выделяющей наиболее значительные уязвимости и абсурдные провалы в области компьютерной безопасности. Pwnie Awards считается аналогом Оскара и Золотой малины в области компьютерной безопасности.
Основные победители (список претендентов):
Основные победители (список претендентов):
- Лучшая серверная ошибка. Присуждается за выявление и эксплуатацию наиболее технически сложной и интересной ошибки в сетевом сервисе. Победа присуждена за выявление уязвимости CVE-2020-10188, позволяющей удалённо атаковать встраиваемые устройства с прошивкой на базе Fedora 31 через переполнение буфера в telnetd.
- Лучшая ошибка в клиентском ПО. Победили исследователи, выявившие уязвимость в Android-прошивках Samsung, позволяющую без вовлечения пользователя получить доступ к устройству через отправку MMS.
- Лучшая уязвимость, приводящая к повышению привилегий. Победа присуждена за выявление уязвимости в bootrom Apple iPhones, iPads, Apple Watches и Apple TV на базе чипов A5, A6, A7, A8, A9, A10 и A11, позволяющей обойти верификацию (jailbreak) прошивок и организовать загрузку других ОС.
- Лучшая криптографическая атака. Присуждается за выявление наиболее значимых брешей в реальных системах, протоколах и алгоритмах шифрования. Премия присуждена за выявление уязвимости Zerologon (CVE-2020-1472) в протоколе MS-NRPC и криптоалгоритме AES-CFB8, которая позволяет злоумышленнику получить права администратора в контроллере домена Windows или Samba.
- Наиболее инновационное исследование. Премия присуждена исследователям, показавшим возможность применения атак класса RowHammer против современных чипов памяти DDR4 для изменения содержимого отдельных битов динамической оперативной памяти (DRAM).
- Самая ламерская реакция производителя (Lamest Vendor Response). Номинация за самую неадекватную реакцию на сообщение об уязвимости в собственном продукте. Победителем признан легендарный Дэниел Бернштейн (Daniel J. Bernstein), который 15 лет назад не посчитал серьёзной и не стал исправлять уязвимость (CVE-2005-1513) в qmail, так как для её эксплуатации требовалась 64-разрядная система с объёмом виртуальной памяти более 4ГБ. За 15 лет 64-разрядные системы на серверах вытеснили 32-разрядные, кардинально выросли объёмы поставляемой памяти, и в итоге был создан рабочий эксплоит, который мог применяться для атаки на системы с qmail в конфигурации по умолчанию.
- Наиболее недооценённая уязвимость. Премия присуждена за уязвимости (CVE-2019-0151, CVE-2019-0152) в механизме Intel VTd/IOMMU, позволяющие обойти защиту памяти и выполнить код на уровне System Management Mode (SMM) и Trusted Execution Technology (TXT), например, для подстановки rootkit-ов в SMM. Опасность проблемы оказалась существенно выше, чем предполагалось, и уязвимость оказалось нельзя так просто исправить.
- Самый большой провал (Most Epic FAIL). Премия присуждена компании Microsoft за уязвимость (CVE-2020-0601) в реализации цифровых подписей на основе эллиптических кривых, позволяющую сгенерировать закрытые ключи на основе открытых ключей. Проблема позволяла создать поддельные TLS-сертификаты для HTTPS и фиктивные цифровые подписи, которые верифицировались в Windows как заслуживающие доверия.
- Самое большое достижение. Премия присуждена за выявление серии уязвимостей (CVE-2019-5870, CVE-2019-5877, CVE-2019-10567), позволяющих обойти все уровни защиты браузера Chromе и выполнить код в системе за пределами sandbox-окружения. Уязвимости были использованы для демонстрации удалённой атаки на устройства на базе платформы Android для получения доступа с правами root.