Pwnie Awards 2020 : les gagnants sont Zerologon, CurveBall, Checkm8 et BraveStarr

Pwnie Awards 2020 : les gagnants sont Zerologon, CurveBall, Checkm8 et BraveStarr

Les lauréats des prix Pwnie 2020 ont été annoncés hier au cours de la conférence Black Hat Europe sur la sécurité.

Ces prix sont au domaine de la cybersécurité ce que les Oscars et les Razzie, combinés, sont à l’industrie du cinéma.

publicité

Chaque année, les professionnels de la cybersécurité sont invités à désigner puis à voter pour le meilleur et le pire du secteur. Il s’agit notamment de sélectionner les meilleures et les plus ingénieuses vulnérabilités découvertes au cours des douze derniers mois, mais aussi les pires réponses des fournisseurs et les échecs qui ont fini par mettre les utilisateurs en danger.

Depuis dix ans, la cérémonie de remise des Pwnie Awards a lieu pendant la conférence sur la sécurité de Black Hat USA, chaque année en août, dans un hôtel de Las Vegas, où les organisateurs distribuent généralement des poupées Mon petit Poney en plastique aux cheveux roses aux gagnants de leur catégorie.

Toutefois, cette année, pour la première fois depuis sa création, les Pwnie Awards ont été organisés dans un format virtuel et ont eu lieu lors de l’édition européenne de la conférence Black Hat, qui se déroule généralement fin novembre et début décembre. La raison ? La pandémie COVID-19, bien sûr.

Voici donc les lauréats de cette année, ainsi que des liens vers leurs recherches respectives, si elles sont disponibles en ligne :

  • Meilleur bug server-side : BraveStarr – un exploit de code à distance dans le démon Telnet sur les serveurs Fedora 31.
  • Meilleur bug client-side: Pour une attaque MMS zéro clic sur les téléphones Samsung, bug découvert par l’équipe de Google Project Zero.
  • Meilleur bug d’élévation des privilèges: Checkm8 – une brèche de sécurité matérielle non réparable pour sept générations de processeurs Apple.
  • Meilleure attaque cryptographique: Zerologon – un bug dans le protocole d’authentification Netlogon de Microsoft qui peut être exécuté en ajoutant plusieurs caractères zéro dans certains paramètres d’authentification Netlogon.
  • Recherche la plus innovante: TRRespass – contournement des protections TRR sur les cartes RAM modernes pour effectuer des attaques Rowhammer.
  • **Réponse la plus tardive d’un fournisseur : Daniel J. Bernstein – pour avoir mal géré un bug en 2005.
  • La recherche la plus sous-cotée : à Gabriel Negreira Barbosa, Rodrigo Rubira Branco (BSDaemon), Joe Cihula (Intel), pour avoir découvert les CVE-2019-0151 et CVE-2019-0152 en mode de gestion système (SMM) et en technologie d’exécution de confiance (TXT) d’Intel.
  • Échec le plus épique: Microsoft pour CurveBall, un bug dans la mise en œuvre les signatures de courbes elliptiques sous Windows, permettant l’usurpation facile des sites HTTPS et des applications légitimes.
  • Réalisation la plus impressionnante: A Guang Gong, un chasseur de bugs chinois connu, pour avoir découvert les CVE-2019-5870, CVE-2019-5877, CVE-2019-10567, trois bugs qui permettaient la prise de contrôle à distance des appareils Android Pixel [voir PDF].

Source : “ZDNet.com”

Leave a Reply

Your email address will not be published. Required fields are marked *