Ko nga toa o nga Tohu Pwnie 2021 kua oti te panui

I panuitia nga toa o nga Tohu Pwnie a-tau 2021, he huihuinga tino nui tenei, e whakaatu ai nga kaiuru i nga whakaraerae tino nui me nga hapa koretake i te taha o te ahuru o te rorohiko.

Nga Tohu Pwnie mohio ki te hiranga me te koretake hoki o te ahurutanga korero. Ko nga toa ka tohua e te komiti o nga umanga umanga ahuru i runga i nga tohu kua kohia mai i te hapori ahuru korero.

Rarangi Toa

He pai ake te whakaraerae i te whakaraerae: Tenei tohu I whakawhiwhia ki nga kamupene Tohu mo te tautuhi i te whakaraerae CVE-2021-3156 i roto i te mahi sudo, e taea ai e koe te whiwhi i nga mana motuhake. Ko te whakaraerae kei roto i te waehere mo te 10 tau pea he mea nui na te rapunga me tino wetewete i nga whakaaro o te taputapu.

Hapa pai rawa atu: tenei I whakawhiwhia ki te tohu me te whakamahi i te pepeke tino uaua o te hangarau me te ngā i roto i te ratonga whatunga. I whakawhiwhia a Victory mo te tohu he tohu hou mo nga whakaeke ki a Microsoft Exchange. Ko nga korero mo nga whakaraeraetanga katoa o tenei akomanga kaore ano kia tukuna, engari kua tukuna kee nga korero mo te whakaraerae CVE-2021-26855 (ProxyLogon), e ahei ai koe ki te tiki raraunga mai i tetahi kaiwhakamahi noho kore whai kiko, me te CVE-2021-27065, ka taea ai e koe te whakahaere i to waehere i runga i te kaituku me nga mana whakahaere.

Te whakaeke crypto pai rawa: i whakawhiwhia mo te tautuhi i nga ngoikoretanga tino nui o te punaha, kawa me te hātepe whakamunatanga pono. Te taonga fI tukuna ki a Microsoft mo te whakaraerae (CVE-2020-0601) i te whakatinanatanga o nga tohu hiko a-hiko elliptic e ahei ana ki te whakatuu i nga ki muna i runga i nga taviri a te iwi. Na te raru i ahei te hanga tiwhikete TLS tarai mo HTTPS me nga waitohu mamati rūpahu, i whakamanatia e Matapihi he pono.

Te nuinga o nga rangahau auaha: Te tohu i whakawhiwhia ki nga Kairangahau nana i tuku te tikanga Matapo ki te karo i te ahuru o te takahurihuri takahuri (ASLR) ma te whakamahi i nga rerenga hongere o te taha i hua mai i te whakaahuatanga o nga tohutohu a te tukatuka.

Te nuinga o nga Hapa Hapa Epic: i whakawhiwhia ki a Microsoft mo te tukunga maha o te papaki kaore e mahi mo te whakaraerae PrintNightmare (CVE-2021-34527) kei roto i te punaha whakaputa whakaputa Matapihi e taea ai e to waehere te whakahaere. Microsoft I te timatanga i tohua te kaupapa hei rohe, engari i muri ka puta ka taea te kawe i te whakaeke mai i tawhiti. I tukuna e Microsoft nga whakahou e wha nga wa, engari i ia wa ka kapi noa te otinga i tetahi keehi motuhake, ana ka kitea e nga kairangahau he huarahi hou hei whakatutuki i te whakaeke.

Pepeke pai rawa atu i te raupaparorohiko Kaihokohoko: ko taua tohu i whakawhiwhia ki tetahi kairangahau i kitea te ngoikore o te CVE-2020-28341 i roto i te krero crypto a Samsung, i whiwhi i te tiwhikete ahuru CC EAL 5+. Na te whakaraerae i ahei ai te karo rawa atu i te ahuru me te urunga ki te waehere e rere ana i runga i te maramara me nga raraunga e penapena ana i roto i te rahurahu, paahitia te raka penapena mata, ka whakarereke hoki i te firmware ki te hanga i tetahi tatau o muri.

Te whakaraerae tino whakahawea: te tohu i i whakawhiwhia ki a Qualys mo te tautohu i te maha o nga whakaraeraetanga 21Nails i roto i te kaituku mēra Exim, 10 o nei ka taea te whakamahi mamao mai. I ruarua te whakaaro o nga kaiwhakawhanake mo te whakamahi i nga take, neke atu i te 6 marama ki te whakawhanake rongoa.

Ko te whakautu ngoikore na te kaihanga: he whakaunga tenei mo nga whakautu kino rawa ki te ripoata whakaraerae i roto i a koe ake hua. Ko te toa ko Cellebrite, he tono matakite me te keri raraunga mo te uruhi ture. Kare i aro tika a Cellebrite ki te purongo whakaraerae i whakaputahia e Moxie Marlinspike, te kaituhi o te kawa Tohu. I aro a Moxie ki Cellebrite whai muri i tana tuku korero purongo mo te hanga hangarau hangarau ki te wawahi i nga karere Tohu whakamunahia, i muri mai he teka, na te pohehe o te whakamaarama i nga korero o te panui i te paetukutuku Cellebrite., I tangohia mai i muri (te Ko te "whakaeke" te uru tinana ki te waea me te ahei ki te iriti i te mata, ara, i whakaitihia ki te tiro i nga karere i roto i te kaikawe, engari kaore i te ringaringa, engari me te whakamahi i tetahi tono motuhake hei whakatauira i nga mahi a nga kaiwhakamahi).

I tirotirohia e Moxie nga tono Cellebrite ka kitea he whakaraerae kino i ahei te whakaputa i te waehere taapiri i te wa e tarai ana koe ki te matawai i nga korero kua waihangahia. I whakaatuhia e te mahinga Cellebrite te meka e whakamahia ana e ia he whare pukapuka ffmpeg tawhito kaore ano kia whakahoutia mo nga tau 9 ana kei roto te tini o nga whakaraeraetanga kaore i tukuna. Kaore i te mohio ki nga take ka whakatikaia, i tukuna e Cellebrite he korero e whakaaro ana ia mo te pono o nga korero a nga kaiwhakamahi, kia mau ki te ahuru o ana hua i te taumata e tika ana.

Finalmente Paetae Maatauranga - I whakawhiwhia ki a Ilfak Gilfanov, he kaituhi IDass disassembler me Hex-Rays decompiler., mo tana takoha ki te whakawhanaketanga o nga taputapu mo nga kairangahau ahuru me tona kaha ki te pupuri i te hua kia 30 tau.

Puna: https://pwnies.com


Ko nga korero o te tuhinga e piri ana ki o maatau kaupapa o matatika whakatika. Ki te ripoata i tetahi paatene paato Here.

Hei tuatahi ki te korero

Waiho to korero

Ka kore e whakaputaina tō wāhitau īmēra. Kua tohua ngā āpure e hiahiatia ana ki *

*

*

  1. He kawenga mo nga raraunga: Miguel Ángel Gatón
  2. Te kaupapa o te raraunga: Whakahaerehia te SPAM, te whakahaere korero.
  3. Ture: To whakaae
  4. Whakawhitinga korero: Kaore nga korero e tukuna ki nga taha tuatoru engari ma te ture herenga.
  5. Rokiroki raraunga: Paetukutuku e whakahaerehia ana e Occentus Networks (EU)
  6. Tika: I nga wa katoa ka taea e koe te whakaiti, te whakaora me te muku i o korero.