Хакеры получили свою премию «Оскар». Pentest Award отметил лучших охотников за уязвимостями

Pentest Award Standoff Hackbase FreeIPA уязвимости инфраструктура
Хакеры получили свою премию «Оскар». Pentest Award отметил лучших охотников за уязвимостями
Pentest Award Standoff Hackbase FreeIPA уязвимости инфраструктура

Хакеры взяли верх на премии года.

image

В этом году онлайн-полигон Standoff Hackbase впервые стал партнёром премии Pentest Award. Команда онлайн-полигона для красных курировала одну из ключевых номинаций — «Пробив инфраструктуры».

Номинация объединяет работы по поиску и эксплуатации уязвимостей в сетевой инфраструктуре, сервисах и IoT-устройствах. В фокусе — сложность и оригинальность подходов, реализованных участниками.

«При выборе победителей вместе с советом жюри мы проанализировали десятки отчётов о найденных уязвимостях. Важна была не только техническая сложность, но и умение идти нестандартным путём: демонстрация успешной эксплуатации вне веб-контекста и глубина анализа исследователей. Подобные инициативы помогают развивать профессиональное ИБ-сообщество и задают планку качества для будущих проектов», — отметил Андрей Пугачёв, эксперт группы архитектуры киберполигона Standoff, Positive Technologies.

Победителем в номинации стал Михаил Сухов (Im10n) с ресёрчем FreeIPA, в ходе которого он показал, как DCSync привёл к уязвимости CVE-2025-4404. Она может быть использована для повышения привилегий и получения доступа в инфраструктуре жертвы.

«Для эксплуатации уязвимости злоумышленнику потребовался бы доступ к учётной записи компьютера в домене FreeIPA. Завладев максимальными привилегиями на скомпрометированном узле, он смог бы прочитать содержимое файла, в котором хранятся ключи для доступа к системе. В результате успешной атаки атакующий получает возможность повысить свои привилегии до администратора домена, управлять учётными записями и правами пользователей, а также получить доступ к любым сведениям организации», — поделился Михаил Сухов.

Второе место в номинации занял Георгий Геннадьев (D00Movenok) с кейсом по реверсу и обходу средств защиты и взятия домена встроенными средствами Windows. На третьем месте irabva — пентест крупной промышленной компании.

Standoff Hackbase — это онлайн-полигон с реалистичными копиями систем и ПО из разных отраслей, где можно попрактиковаться в поиске уязвимостей 24/7. Это позволяет прокачивать навыки, пробовать нестандартные подходы и попадать на верхушку рейтинга Standoff.