Бұл 2020 Pwnie марапаттарының лауреаттары

Жыл сайынғы Pwnie Awards 2020 жеңімпаздары анықталды, бұл көрнекті оқиға, онда қатысушылар компьютерлік қауіпсіздік саласындағы ең маңызды осалдықтар мен ақылға қонымсыз кемшіліктерді ашады.

Pwnie марапаттары ақпараттық қауіпсіздік саласындағы кемшіліктерді де, біліктіліктерді де мойындау. Жеңімпаздарды ақпараттық қауіпсіздік қоғамдастығынан жиналған номинациялар бойынша қауіпсіздік саласы мамандарының комитеті таңдайды.

Сыйлықтар жыл сайын Black Hat қауіпсіздік конференциясында беріледі. Pwnie Awards компьютерлік қауіпсіздік саласындағы Оскар мен Алтын таңқурай сыйлықтарының әріптесі ретінде қарастырылады.

Үздік жеңімпаздар

Сервердің ең жақсы қатесі

Техникалық тұрғыдан ең күрделі қатені анықтағаны және пайдаланғаны үшін беріледі және желілік қызметте қызықты. Жеңіс CVE-2020-10188 осалдығын анықтаумен марапатталды, бұл Fednet 31-ге негізделген микробағдарламалық жасақтама қондырылған құрылғыларға қашықтан шабуыл жасауға мүмкіндік береді.

Клиенттік бағдарламалық жасақтамадағы ең жақсы қате

Samsung компаниясының Android микробағдарламасының осалдығын анықтаған зерттеушілер жеңімпаз болды, бұл құрылғыға MMS жіберуді пайдаланушының кіруінсіз жіберуге мүмкіндік береді.

Эскалацияның осалдығы

Жеңіс Apple iPhone, iPad, Apple Watches және Apple TV жүктемелерінің осалдығын анықтағаны үшін марапатталды A5, A6, A7, A8, A9, A10 және A11 чиптеріне негізделген, бұл сізге микробағдарламаның джейлбрейкін болдырмауға және басқа амалдық жүйелердің жүктемесін ұйымдастыруға мүмкіндік береді.

Үздік крипто-шабуыл

Нақты жүйелердегі, протоколдардағы және шифрлау алгоритмдеріндегі маңызды осалдықтарды анықтағаны үшін беріледі. Марапат MS-NRPC хаттамасындағы Zerologon осалдығын (CVE-2020-1472) және шабуылдаушыға Windows немесе Samba домен контроллерінде әкімші құқықтарын алуға мүмкіндік беретін AES-CFB8 крипто алгоритмін анықтағаны үшін берілді.

Ең инновациялық зерттеулер

Марапат RowHammer шабуылдарын заманауи DDR4 жад микросхемаларына қарсы динамикалық жедел жадтың (DRAM) жеке биттерінің мазмұнын өзгерту үшін қолдануға болатындығын көрсеткен зерттеушілерге беріледі.

Өндірушінің әлсіз жауабы (жеткізушінің ең жұмсақ жауабы)

Өзіңіздің өніміңіздегі осалдық туралы есепке сәйкес емес жауап үшін ұсынылған. Жеңімпаз - мифтік Даниэль Дж.Бернштейн, ол оны 15 жыл бұрын елеулі деп санамады және qmail-дағы осалдығын (CVE-2005-1513) шешпеді, өйткені оны пайдалану үшін 64 ГБ-тан астам виртуалды 4 биттік жүйе қажет жады.

15 жыл ішінде серверлердегі 64 биттік жүйелер 32 биттік жүйелерді ығыстырды, берілген жад көлемі күрт өсті және нәтижесінде функционалды эксплуатация құрылды, ол әдепкі параметрлерде qmail жүйелеріне шабуыл жасау үшін қолданыла алады.

Көбінесе осалдығы бағаланбаған

Марапат осалдықтар үшін берілді (CVE-2019-0151, CVE-2019-0152) Intel VTd / IOMMU механизмінде, Бұл сізге жадты қорғауды айналып өтіп, жүйені басқару режимінде (SMM) және Trusted Execution Technology (TXT) деңгейінде кодты іске қосуға мүмкіндік береді, мысалы SMM-дегі руткиттерді ауыстыру үшін. Мәселенің күрделілігі болжанғаннан едәуір жоғары болды және осалдығын түзету оңай болған жоқ.

Көптеген эпикалық қателер

Сыйлық Microsoft корпорациясына эллиптикалық қисық цифрлық қолтаңбаны іске асырудағы осалдығы үшін (CVE-2020-0601) ашық кілттер негізінде жеке кілттерді жасауға мүмкіндік берді. Мәселе HTTPS үшін жалған TLS сертификаттарын және Windows сенімді деп тексерген жалған сандық қолтаңбаларын құруға мүмкіндік берді.

Ең үлкен жетістік

Сыйлық Chromé браузерінің қорғанысының барлық деңгейлерін айналып өтуге және жүйеде кодты пескобоктан тыс орындауға мүмкіндік беретін бірқатар осалдықтарды анықтағаны үшін берілді (CVE-2019-5870, CVE-2019-5877, CVE-2019-10567). қоршаған орта. Осалдықтар түбірге қол жеткізу үшін Android құрылғыларына қашықтан шабуыл жасауды көрсету үшін пайдаланылды.

Соңында, егер сіз үміткерлер туралы көбірек білгіңіз келсе, егжей-тегжейін тексере аласыз Келесі сілтемеде.


Мақаланың мазмұны біздің ұстанымдарымызды ұстанады редакторлық этика. Қате туралы хабарлау үшін нұқыңыз Мұнда.

Бірінші болып пікір айтыңыз

Пікіріңізді қалдырыңыз

Сіздің электрондық пошта мекен-жайы емес жарияланады. Міндетті өрістер таңбаланған *

*

*

  1. Деректерге жауапты: Мигель Анхель Гатан
  2. Деректердің мақсаты: СПАМ-ны басқару, түсініктемелерді басқару.
  3. Заңдылық: Сіздің келісіміңіз
  4. Деректер туралы ақпарат: заңды міндеттемелерді қоспағанда, деректер үшінші тұлғаларға жіберілмейді.
  5. Деректерді сақтау: Occentus Networks (ЕО) орналастырған мәліметтер базасы
  6. Құқықтар: Сіз кез-келген уақытта ақпаратты шектей, қалпына келтіре және жоя аласыз.