Awọn to bori ti Pwnie Awards 2021 ti kede tẹlẹ

Ti kede awọn bori ti ọdun Awards Pwnie Awards 2021, eyiti o jẹ iṣẹlẹ olokiki, ninu eyiti awọn olukopa fi han awọn ailagbara ti o ṣe pataki julọ ati awọn abawọn asan ni aaye aabo kọmputa.

Awọn Awards Pwnie wọn mọ iyasọtọ ati ailagbara ni aaye aabo alaye. Ti yan awọn bori nipasẹ igbimọ ti awọn akosemose ile-iṣẹ aabo lati awọn yiyan ti a kojọ lati agbegbe aabo alaye.

Akojọ awọn olubori

Dara julọ anfaani escalation palara: Ebun yi Ti fun un ni ile-iṣẹ Qualys fun idamo ailagbara CVE-2021-3156 ninu ohun elo sudo, eyiti o fun ọ laaye lati jèrè awọn anfaani gbongbo. Ipalara ti wa ninu koodu fun bii ọdun mẹwa 10 ati pe o jẹ ohun akiyesi fun otitọ pe wiwa rẹ nilo itupalẹ pipe ti ọgbọn ọgbọn ohun elo.

Aṣiṣe olupin ti o dara julọ: eyi Fun un fun idamọ ati lilo ilokulo eka ti imọ -ẹrọ ti o pọ julọ ati awọn ti o nifẹ ninu iṣẹ nẹtiwọọki kan. A fun ni iṣẹgun fun idanimọ fekito tuntun ti awọn ikọlu lodi si Microsoft Exchange. Alaye lori gbogbo awọn ailagbara ninu kilasi yii ko ti ni idasilẹ, ṣugbọn alaye ti tu silẹ tẹlẹ nipa ailagbara CVE-2021-26855 (ProxyLogon), eyiti o fun ọ laaye lati gba data pada lati ọdọ olumulo lainidii laisi ijẹrisi, ati CVE-2021-27065, eyiti o fun ọ laaye lati ṣiṣẹ koodu rẹ lori olupin pẹlu awọn ẹtọ oludari.

Ikọlu crypto ti o dara julọ: ti funni fun idanimọ awọn ikuna pataki julọ ninu awọn eto, awọn ilana ati awọn algorithms fifi ẹnọ kọ nkan gidi. Ebun fO ti tu silẹ fun Microsoft fun ailagbara (CVE-2020-0601) ni imuse ti elliptic curve digital signures ti o fun laaye iran ti awọn bọtini ikọkọ ti o da lori awọn bọtini gbangba. Ọrọ naa gba laaye ẹda ti awọn iwe -ẹri TLS eke fun HTTPS ati awọn ibuwọlu oni nọmba iro, eyiti Windows jẹrisi bi igbẹkẹle.

Iwadi tuntun julọ: Ẹbun naa fun awọn oniwadi ti o dabaa ọna BlindSide lati yago fun aabo ti isọdi adiresi (ASLR) nipa lilo awọn n jo ikanni ẹgbẹ ti o ja lati ipaniyan ifoju awọn ilana nipasẹ ero isise.

Pupọ awọn aṣiṣe FAIL Epic: fun un ni Microsoft fun itusilẹ ọpọ ti alemo ti ko ṣiṣẹ fun ailagbara PrintNightmare (CVE-2021-34527) ninu eto iṣelọpọ titẹjade Windows ti o fun laaye koodu rẹ lati ṣiṣẹ. Microsoft lakoko ṣe afihan ọran naa bi agbegbe, ṣugbọn nigbamii o wa jade pe ikọlu le ṣee ṣe latọna jijin. Microsoft lẹhinna tu awọn imudojuiwọn silẹ ni igba mẹrin, ṣugbọn nigbakugba ti ojutu nikan bo ọran pataki kan, ati awọn oniwadi wa ọna tuntun lati ṣe ikọlu naa.

Kokoro ti o dara julọ ninu sọfitiwia onibara: ti eye je ti a fun ni fun oniwadi kan ti o ṣe awari ailagbara CVE-2020-28341 ni ibi ipamọ crypto-aabo ti Samsung, ti gba ijẹrisi aabo CC EAL 5+. Ipalara jẹ ki o ṣee ṣe lati ṣe aabo aabo patapata ati ni iraye si koodu ti n ṣiṣẹ lori chiprún ati data ti o fipamọ sinu enclave, fori titiipa ipamọ iboju, ati tun ṣe awọn ayipada si famuwia lati ṣẹda ilẹkun ẹhin ti o farapamọ.

Awọn julọ underestimated palara: eye je ti a fun ni fun Qualys fun idanimọ nọmba kan ti awọn ailagbara 21Nails ninu olupin meeli Exim, 10 eyiti a le lo nilokulo latọna jijin. Awọn Difelopa Exim jẹ ṣiyemeji nipa ilokulo awọn ọran ati lo diẹ sii ju oṣu 6 ni idagbasoke awọn solusan.

Idahun ti o lagbara julọ lati ọdọ olupese: eyi ni yiyan fun idahun ti ko yẹ julọ si ijabọ ailagbara ninu ọja tirẹ. Aṣeyọri ni Cellebrite, oniwadi oniwadi ati ohun elo iwakusa data fun agbofinro. Cellebrite ko dahun daradara si ijabọ ailagbara ti a tẹjade nipasẹ Moxie Marlinspike, onkọwe ti Ilana Ifihan. Moxie nifẹ si Cellebrite lẹhin ifiweranṣẹ itan media nipa ṣiṣẹda imọ -ẹrọ kan lati fọ awọn ifiranṣẹ Ifihan ti paroko, eyiti o yipada nigbamii lati jẹ eke, nitori itumọ ti alaye ti o wa ninu nkan naa lori oju opo wẹẹbu Cellebrite., Eyiti a yọkuro nigbamii ( “ikọlu” nilo iraye si ti ara si foonu ati agbara lati ṣii iboju, iyẹn ni, o dinku si wiwo awọn ifiranṣẹ ninu ojiṣẹ, ṣugbọn kii ṣe pẹlu ọwọ, ṣugbọn lilo ohun elo pataki kan ti o ṣe iṣe awọn iṣe olumulo).

Moxie ṣe ayẹwo awọn ohun elo Cellebrite ati rii awọn ailagbara to ṣe pataki ti o gba koodu lainidii laaye lati ṣe nigbati o n gbiyanju lati ọlọjẹ data ti a ṣe ni pataki. Ohun elo Cellebrite tun ṣafihan nipa lilo ile -ikawe ffmpeg ti igba atijọ ti ko ṣe imudojuiwọn fun ọdun 9 ati pe o ni nọmba nla ti awọn ailagbara ti ko ni ibamu. Dipo ki o jẹwọ awọn ọran ati ṣatunṣe wọn, Cellebrite ṣe alaye kan pe o bikita nipa iduroṣinṣin ti data olumulo, tọju aabo awọn ọja rẹ ni ipele ti o yẹ.

Níkẹyìn Aṣeyọri Nla julọ - Ti a fun Ilfak Gilfanov, onkọwe ti IDA disassembler ati Hex -Rays decompiler, fun ilowosi rẹ si idagbasoke awọn irinṣẹ fun awọn oniwadi aabo ati agbara rẹ lati jẹ ki ọja wa ni imudojuiwọn fun ọdun 30.

Orisun: https://pwnies.com


Awọn akoonu ti nkan naa faramọ awọn ilana wa ti awọn ilana olootu. Lati jabo aṣiṣe kan tẹ nibi.

Jẹ akọkọ lati sọ ọrọ

Fi ọrọ rẹ silẹ

Adirẹsi imeeli rẹ yoo ko le ṣe atejade. O beere aaye ti wa ni samisi pẹlu *

*

*

  1. Lodidi fun data naa: Miguel Ángel Gatón
  2. Idi ti data naa: SPAM Iṣakoso, iṣakoso ọrọ asọye.
  3. Ofin: Iyọọda rẹ
  4. Ibaraẹnisọrọ data: Awọn data kii yoo ni ifọrọhan si awọn ẹgbẹ kẹta ayafi nipasẹ ọranyan ofin.
  5. Ibi ipamọ data: Alaye data ti o gbalejo nipasẹ Awọn nẹtiwọọki Occentus (EU)
  6. Awọn ẹtọ: Ni eyikeyi akoko o le ni opin, gba pada ki o paarẹ alaye rẹ.