Ku guuleystayaasha abaalmarinta Pwnie Awards 2021 horay ayaa loogu dhawaaqay

Ku guuleystayaasha abaalmarinta sanadlaha ah ee Pwnie Awards 2021 ayaa lagu dhawaaqay, taas oo ah dhacdo aad u wanaagsan, oo ka qaybgalayaashu ay ku muujinayaan nuglaanta ugu muhiimsan iyo cilladaha macquulka ah ee dhinaca amniga kombuyuutarka.

Abaalmarinta Pwnie waxay aqoonsan yihiin heer sare iyo karti-xumo xagga amniga macluumaadka ah. Ku guuleystayaasha waxaa soo xula guddi ka kooban xirfadlayaal ku xeel dheer arrimaha amniga oo laga soo xulay bulshada amniga macluumaadka.

Liiska guuleystayaasha

Fursad ka sii wanaagsan ayaa u nugul nuglaanta: Abaalmarintan Waxaa lagu abaalmariyay shirkadda Qualys si ay u aqoonsato nuglaanta CVE-2021-3156 ee adeegsiga sudo, kaas oo kuu oggolaanaya inaad hesho mudnaanta xididka. Jilicsanaantu waxay ku jirtay koodh ku dhawaad ​​10 sano waana wax xusid mudan xaqiiqda ah in ogaanshaheedu u baahday falanqayn dhammaystiran oo ku saabsan macquulka korontada.

Khaladka ugu fiican ee server: tan Lagu abaalmariyey aqoonsiga iyo ka faa'iidaysiga dhibka ugu farsamo adag oo xiiso leh adeegga shabakadda. Guul ayaa lagu abaalmariyay aqoonsiga vector cusub oo weerar ah oo ka dhan ah Microsoft Exchange. Macluumaadka dhammaan nuglaanta fasalkaan lama soo saarin, laakiin macluumaad ayaa durba la sii daayay oo ku saabsan nuglaanta CVE-2021-26855 (ProxyLogon), oo kuu oggolaaneysa inaad xogta ka soo saarto isticmaale aan ikhtiyaar lahayn iyada oo aan la xaqiijin, iyo CVE-2021-27065, kaas oo kuu oggolaanaya inaad ku socodsiiso koodhkaaga server leh xuquuqda maamulaha.

Weerarka crypto ugu fiican: waa la siiyay si loo aqoonsado guuldarooyinka ugu waaweyn ee nidaamyada, borotokoollada iyo algorithms -ka sirta dhabta ah. Abaalmarinta fWaxaa loo sii daayay Microsoft nuglaanta (CVE-2020-0601) hirgelinta saxeexyada dhijitaalka ah ee qalooca qalooca oo u oggolaanaya abuurista furayaasha gaarka ah ee ku saleysan furayaasha dadweynaha. Arrintu waxay oggolaatay abuuritaanka shahaadooyinka TLS ee been -abuurka ah ee HTTPS iyo saxiixyada dhijitaalka ah ee been -abuurka ah, kuwaas oo Windows xaqiijiyey inay yihiin kuwo lagu kalsoonaan karo.

Cilmi -baarista ugu cusub: Abaalmarinta waxaa la siiyay cilmi baarayaal soo jeediyay habka BlindSide si looga fogaado amniga kala -soocidda cinwaanka (ASLR) iyadoo la adeegsanayo daadinta kanaalka dhinac oo ka dhasha fulinta mala awaalka ee tilmaamaha processor -ka.

Inta badan khaladaadka Epic FAIL: la siiyay Microsoft siidaynta badan ee balastarka aan shaqaynayn ee u nuglaanta PrintNightmare (CVE-2021-34527) ee nidaamka wax soo saarka daabacaadda ee Windows oo u oggolaanaya lambarkaaga inuu shaqeeyo. Microsoft markii hore arrinta ku calaamadeeyay mid maxalli ah, laakiin markii dambe waxaa soo baxday in weerarka meel fog laga fulin karo. Microsoft ayaa markaa sii deysay afar jeer cusbooneysiin, laakiin mar kasta oo xalka kaliya uu daboolay hal kiis oo gaar ah, cilmi -baarayaashu waxay heleen hab cusub oo lagu qaado weerarka.

Cayayaanka ugufiican barnaamijka softiweerka: abaalmarintaasi waxay ahayd waxaa la siiyay cilmi-baare ka helay nuglaanta CVE-2020-28341 ee asturnaanta aaminka ah ee Samsung, helay CC EAL 5+ shahaadada badbaadada. Jilicsanaanta ayaa suurtagelisay in gebi ahaanba la dhaafo ilaalinta oo la helo koodh ku shaqaynaya chip iyo xogta lagu kaydiyey xayndaabka, ka gudub qufulka keydiyaha shaashadda, iyo sidoo kale in isbeddel lagu sameeyo firmware -ka si loo abuuro albaab dambe oo qarsoon.

Jilicsanaanta ugu yaraynta badan: abaalmarintu waxay ahayd waxaa lagu abaalmariyay Qualys aqoonsiga tiro ka mid ah nuglaanta 21Nails ee server -ka Exim, 10 kuwaas oo meel fog laga faa'iidaysan karo. Soo -saareyaasha Exim waxay ka shakiyeen ka faa'iidaysiga arrimaha waxayna ku qaateen in ka badan 6 bilood horumarinta xallinta.

Jawaabta ugu liidata ee soo -saaraha: kani waa magacaabid jawaabta aan ugu habboonayn warbixinta nuglaanta ee alaabtaada. Guuleystuhu wuxuu ahaa Cellebrite, oo ah danbi baaris iyo codsi macdan qodis oo loogu talagalay fulinta sharciga. Cellebrite si fiican ugama jawaabin warbixinta nuglaanta ee uu daabacay Moxie Marlinspike, oo ah qoraaga borotokoolka Signal. Moxie wuxuu xiiseynayay Cellebrite ka dib markii uu dhajiyay sheeko warbaahineed oo ku saabsan abuurista teknolojiyad lagu jebin karo farriimaha Calaamadda ee qarsoon, oo markii dambe been noqotay, sababtuna tahay si khaldan loo fasiray macluumaadka maqaalka ku yaal websaydhka Cellebrite., Kaasoo markii dambe laga saaray ( "weerar" wuxuu u baahan yahay gelitaanka jirka ee taleefanka iyo kartida furitaanka shaashadda, taas oo ah, waxaa loo yareeyay daawashada farriimaha farriinta, laakiin ma aha gacanta, laakiin adeegsiga codsi gaar ah oo u ekeysiiya ficillada adeegsadaha).

Moxie wuxuu baaray codsiyada Cellebrite wuxuuna helay nuglaansho daran oo u oggolaaday in la fuliyo koodh aan loo meel dayin marka la isku dayayo in la baaro xogta sida gaarka ah loo farsameeyay. App -ka Cellebrite ayaa sidoo kale shaaca ka qaaday isagoo adeegsanaya maktabad ffmpeg gaboobay oo aan la cusbooneysiin 9 sano oo ay ku jiraan tiro badan oo nuglaansho aan la soo koobi karin. Halkii ay ka garaabi lahaayeen arrimaha oo ay hagaajin lahaayeen, Cellebrite waxay soo saartay bayaan ay ku danaynayso hufnaanta xogta isticmaaleyaasha, ay ku ilaaliso amniga badeecadeeda heer habboon.

Finalmente Guulaha Ugu Weyn - Waxaa la siiyay Ilfak Gilfanov, oo ah qoraha kala -qaybiyeyaasha IDA iyo Hex -Rays decompiler, kaalintii uu ka qaatay horumarinta aaladaha cilmi-baarayaasha amniga iyo awoodda uu u leeyahay in badeecaddu ay noqoto mid casri ah 30 sano.

source: https://pwnies.com


Noqo kuwa ugu horreeya ee faallo bixiya

Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Masuul ka ah xogta: Miguel Ángel Gatón
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.