На конференции Black Hat USA 2023 назвали победителей ежегодной премии Pwnie Awards 2023, посвящённой уязвимостям и провалам в области информационной безопасности.
Номинации и победители следующие:
лучшая уязвимость, приводящая к повышению привилегий. Премию получила USB Excalibur (CVE-2022-31705) в реализации USB-контроллера, который применяют в продуктах виртуализации VMware ESXi, Workstation и Fusion. Она позволяет получить доступ к хост-окружению из гостевой системы и выполнить код с правами процесса VMX. Также отмечена серия уязвимости в ядре Linux, которая связана с использованием небезопасного макроса container_of();
лучшая уязвимость, приводящая к удалённому выполнению кода. В этой номинации победила уязвимость CVE-2023-20032 в антивирусном пакете ClamAV. Она позволяет выполнить код при сканировании файлов со специально оформленными дисковыми образами в формате HFS+. Также выделены уязвимости в системе мониторинга Checkmk и балансировщике нагрузки Windows (CVE-2023-28240);
лучшая криптографическая атака. Премией отмечен метод атак по сторонним каналам, позволяющий удалённо восстановить значения ключей шифрования на базе алгоритмов ECDSA и SIKE. Он работает посредством анализа видео с камеры, снимающей светодиодный индикатор ридера смарт-карт или устройства, подключённого к одному USB-хабу со смартфоном, производящим операции с ключом. Также названы проблемы с шифрованием, компрометирующие сквозное шифрование во многих Matrix-клиентах;
наиболее инновационное исследование. Премию получило исследование о возможности использования разъёма Apple Lightning для доступа к отладочному JTAG-интерфейсу iPhone и получения полного контроля за устройством. Также были отмечены атаки Downfall на CPU Intel и анализ применения метода атаки Rowhammer на память DRAM для создания уникальных идентификаторов;
самое недооцененное исследование. Победило исследование сотрудника компании Trendmicro о новом классе уязвимостей в Windows CSRSS. Они позволяют повысить привилегии через отравление кэша контекстов активации. Также упомянуты уязвимости, затрагивающие почти все IoT-устройства Mobile-as-a-Gateway (MaaG), и в отладчике Renderdoc, вызванные целочисленным переполнением и ошибкой при работе с символическими ссылками;
самый большой провал. Премия досталась Администрации транспортной безопасности США, которая не ограничила доступ к хранилищу Elasticsearch с блэклистом для авиакомпаний;
лучшая ошибка в клиентском ПО. Премией отметили уязвимость CVE-2022-22036 в механизме Performance Counters, которая позволяет повысить привилегии на платформе Windows;
самая неадекватная реакция производителя. Премию получила компания Threema, которая отреагировала на анализ безопасности протокола мессенджера на выявленные критические проблемы;
самое большое достижение. Премию получил Клемент Лесин из Google Threat Analysis Group, который обнаружил 33 уязвимостей нулевого дня в Chrome, iOS и Android.
Источник новости: habr.com