Estos son los ganadores de los Pwnie Awards 2023
Durante la conferencia Black Hat USA 2023 que fue celebrada hace algunos días ( del 5 agosto al 10 de agosto, en Centro de convenciones del Mandalay Bay, en Las Vegas) se dio a conocer el anuncio de la lista de ganadores de los premios anuales Pwnie Awards 2023
Para quienes desconocen de los Pwnie Awards, deben saber que este es un evento destacado, en el cual los participantes dan a conocer las vulnerabilidades más significativas y fallas absurdas en el campo de la seguridad informática.
Los premios Pwnie reconocen tanto la excelencia como la incompetencia en el campo de la seguridad de la información. Los ganadores son seleccionados por un comité de profesionales de la industria de la seguridad a partir de nominaciones recopiladas de la comunidad de seguridad de la información.
Los premios se entregan anualmente en la Black Hat Security Conference y se consideran como un homólogo a los premios Oscar y Golden Raspberry en seguridad informática.
Lista de ganadores de los Pwnie Awards 2023
Mejor vulnerabilidad de escritorio
El ganador fue la vulnerabilidad CVE-2022-22036 en el mecanismo Performance Counters, que le permite elevar sus privilegios en Windows.
Mejor vulnerabilidad de escalada de privilegios.
El ganador fue la vulnerabilidad USB Excalibur (CVE-2022-31705) en la implementación del controlador USB utilizado en los productos de virtualización VMware ESXi, Workstation y Fusion. La vulnerabilidad permite acceder al entorno host desde el sistema invitado y ejecutar código con los derechos del proceso VMX.
La mejor vulnerabilidad de ejecución remota
El ganador fue la vulnerabilidad (CVE-2023-20032) en el antivirus gratuito ClamAV que permite la ejecución de código al escanear archivos con imágenes de disco especialmente diseñadas en formato HFS+ (por ejemplo, al escanear archivos extraídos de correos electrónicos en un correo electrónico). servidor).
El mayor logro.
El premio fue para Clement Lecigne del Grupo de Análisis de Amenazas de Google por su trabajo en la identificación de 33 vulnerabilidades 0 day utilizadas para atacar Chrome, iOS y Android.
El mejor ataque criptográfico.
El premio fue otorgado al método de ataque que permite recuperar de forma remota los valores de las claves de cifrado realizando el análisis del indicador LED (del cual compartimos una publicación aquí en el blog). El cual permite recuperar las claves de cifrado basadas en los algoritmos ECDSA y SIKE a través del análisis de vídeo de una cámara que captura el indicador LED de un lector de tarjetas inteligentes o un dispositivo conectado a un concentrador USB con un teléfono inteligente que realiza operaciones con el dongle.
Investigación más innovadora.
La victoria se la llevó un estudio que mostró la posibilidad de utilizar el conector Lightning de Apple para acceder a la interfaz de depuración JTAG del iPhone y obtener un control total sobre el dispositivo.
En esta categoria, vale la pena mencionar que tambien se encontraban nominados, el ataque Downfall a las CPU Intel y Centauri, un método basado en Rowhammer para generar fingerprints únicos
La investigación más subestimada
En esta categoría, el ganador fue un estudio realizado por un empleado de Trendmicro que identificó una nueva clase de vulnerabilidades en Windows CSRSS que permiten la escalada de privilegios a través del envenenamiento de caché de contexto de activación.
El mayor fracaso (Most Epic FAIL).
El premio lo recibió la TSA (Transportation Security Administration) de EE. UU. , que olvidó restringir el acceso al repositorio disponible públicamente de Elasticsearch, que, entre otras cosas, contenía una lista de personas a las que no se les permitía subir a los aviones (No Fly List).
La reacción más lamer
Nominación a la respuesta más inapropiada a un informe de vulnerabilidad en el propio producto. La victoria se la llevó Threema, que reaccionó caprichosamente al análisis de seguridad del protocolo de mensajería «segura» de la empresa y no consideró graves los problemas críticos identificados.
Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente documento en el cual se comparten los detalles de cada caso.
Cabe mencionar que en el sitio oficial de los Pwnie Awards, aún no se ha actualizado la información compartida en el documento y solo es cuestión de días para que esta misma información se pueda visualizar en el sitio web.