ಪ್ರೊಹೋಸ್ಟರ್ > Блог > ಇಂಟರ್ನೆಟ್ ಸುದ್ದಿ > Pwnie ಪ್ರಶಸ್ತಿಗಳು 2021: ಅತ್ಯಂತ ಮಹತ್ವದ ಭದ್ರತಾ ದೋಷಗಳು ಮತ್ತು ವೈಫಲ್ಯಗಳು

Pwnie ಪ್ರಶಸ್ತಿಗಳು 2021: ಅತ್ಯಂತ ಮಹತ್ವದ ಭದ್ರತಾ ದೋಷಗಳು ಮತ್ತು ವೈಫಲ್ಯಗಳು

ವಾರ್ಷಿಕ Pwnie ಅವಾರ್ಡ್ಸ್ 2021 ರ ವಿಜೇತರನ್ನು ನಿರ್ಧರಿಸಲಾಗಿದೆ, ಇದು ಕಂಪ್ಯೂಟರ್ ಭದ್ರತೆಯ ಕ್ಷೇತ್ರದಲ್ಲಿನ ಅತ್ಯಂತ ಗಮನಾರ್ಹವಾದ ದುರ್ಬಲತೆಗಳು ಮತ್ತು ಅಸಂಬದ್ಧ ವೈಫಲ್ಯಗಳನ್ನು ಎತ್ತಿ ತೋರಿಸುತ್ತದೆ. Pwnie ಪ್ರಶಸ್ತಿಗಳನ್ನು ಕಂಪ್ಯೂಟರ್ ಭದ್ರತೆಯಲ್ಲಿ ಆಸ್ಕರ್ ಮತ್ತು ಗೋಲ್ಡನ್ ರಾಸ್ಪ್ಬೆರಿಗಳಿಗೆ ಸಮಾನವೆಂದು ಪರಿಗಣಿಸಲಾಗುತ್ತದೆ.

ಮುಖ್ಯ ವಿಜೇತರು (ಸ್ಪರ್ಧಿಗಳ ಪಟ್ಟಿ):

  • ಉತ್ತಮ ಸವಲತ್ತು ಹೆಚ್ಚಳದ ದುರ್ಬಲತೆ. ರೂಟ್ ಸವಲತ್ತುಗಳನ್ನು ಪಡೆಯಲು ಅನುಮತಿಸುವ ಸುಡೋ ಉಪಯುಕ್ತತೆಯಲ್ಲಿನ ದುರ್ಬಲತೆಯನ್ನು CVE-2021-3156 ಗುರುತಿಸಿದ್ದಕ್ಕಾಗಿ ಕ್ವಾಲಿಸ್‌ಗೆ ವಿಜಯವನ್ನು ನೀಡಲಾಯಿತು. ದುರ್ಬಲತೆಯು ಸುಮಾರು 10 ವರ್ಷಗಳಿಂದ ಕೋಡ್‌ನಲ್ಲಿದೆ ಮತ್ತು ಅದನ್ನು ಗುರುತಿಸಲು ಉಪಯುಕ್ತತೆಯ ತರ್ಕದ ಸಂಪೂರ್ಣ ವಿಶ್ಲೇಷಣೆಯ ಅಗತ್ಯವಿದೆ ಎಂಬ ಅಂಶಕ್ಕೆ ಗಮನಾರ್ಹವಾಗಿದೆ.
  • ಅತ್ಯುತ್ತಮ ಸರ್ವರ್ ದೋಷ. ನೆಟ್‌ವರ್ಕ್ ಸೇವೆಯಲ್ಲಿ ಅತ್ಯಂತ ತಾಂತ್ರಿಕವಾಗಿ ಸಂಕೀರ್ಣ ಮತ್ತು ಆಸಕ್ತಿದಾಯಕ ದೋಷವನ್ನು ಗುರುತಿಸಲು ಮತ್ತು ಬಳಸಿಕೊಳ್ಳುವುದಕ್ಕಾಗಿ ಪ್ರಶಸ್ತಿ ನೀಡಲಾಗಿದೆ. ಮೈಕ್ರೋಸಾಫ್ಟ್ ಎಕ್ಸ್ಚೇಂಜ್ ಮೇಲಿನ ದಾಳಿಯ ಹೊಸ ವೆಕ್ಟರ್ ಅನ್ನು ಗುರುತಿಸಿದ್ದಕ್ಕಾಗಿ ಈ ವಿಜಯವನ್ನು ನೀಡಲಾಯಿತು. ಈ ವರ್ಗದ ಎಲ್ಲಾ ದುರ್ಬಲತೆಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಪ್ರಕಟಿಸಲಾಗಿಲ್ಲ, ಆದರೆ ದೃಢೀಕರಣವಿಲ್ಲದೆ ಅನಿಯಂತ್ರಿತ ಬಳಕೆದಾರರಿಂದ ಡೇಟಾವನ್ನು ಹೊರತೆಗೆಯಲು ಅನುಮತಿಸುವ ದುರ್ಬಲತೆಯ CVE-2021-26855 (ProxyLogon), ಮತ್ತು CVE-2021-27065 ಕುರಿತು ಮಾಹಿತಿಯನ್ನು ಈಗಾಗಲೇ ಬಹಿರಂಗಪಡಿಸಲಾಗಿದೆ. ನಿರ್ವಾಹಕರ ಹಕ್ಕುಗಳೊಂದಿಗೆ ಸರ್ವರ್‌ನಲ್ಲಿ ನಿಮ್ಮ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಸಾಧ್ಯವಿದೆ.
  • ಅತ್ಯುತ್ತಮ ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ದಾಳಿ. ನೈಜ ಸಿಸ್ಟಂಗಳು, ಪ್ರೋಟೋಕಾಲ್‌ಗಳು ಮತ್ತು ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಅಲ್ಗಾರಿದಮ್‌ಗಳಲ್ಲಿನ ಅತ್ಯಂತ ಗಮನಾರ್ಹ ನ್ಯೂನತೆಗಳನ್ನು ಗುರುತಿಸುವುದಕ್ಕಾಗಿ ಪ್ರಶಸ್ತಿ ನೀಡಲಾಗಿದೆ. ಸಾರ್ವಜನಿಕ ಕೀಲಿಗಳಿಂದ ಖಾಸಗಿ ಕೀಗಳನ್ನು ಉತ್ಪಾದಿಸಬಲ್ಲ ದೀರ್ಘವೃತ್ತದ ಕರ್ವ್ ಡಿಜಿಟಲ್ ಸಿಗ್ನೇಚರ್‌ಗಳ ಅನುಷ್ಠಾನದಲ್ಲಿ ದುರ್ಬಲತೆಗಾಗಿ (CVE-2020-0601) ಮೈಕ್ರೋಸಾಫ್ಟ್‌ಗೆ ಪ್ರಶಸ್ತಿಯನ್ನು ನೀಡಲಾಯಿತು. ಸಮಸ್ಯೆಯು HTTPS ಮತ್ತು ಕಾಲ್ಪನಿಕ ಡಿಜಿಟಲ್ ಸಹಿಗಳಿಗಾಗಿ ನಕಲಿ TLS ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ರಚಿಸಲು ಅವಕಾಶ ಮಾಡಿಕೊಟ್ಟಿತು, ಇವುಗಳನ್ನು ವಿಂಡೋಸ್‌ನಲ್ಲಿ ವಿಶ್ವಾಸಾರ್ಹವೆಂದು ಪರಿಶೀಲಿಸಲಾಗಿದೆ.
  • ಅತ್ಯಂತ ನವೀನ ಸಂಶೋಧನೆ. ಪ್ರೊಸೆಸರ್‌ನಿಂದ ಸೂಚನೆಗಳನ್ನು ಊಹಾತ್ಮಕವಾಗಿ ಕಾರ್ಯಗತಗೊಳಿಸುವುದರಿಂದ ಉಂಟಾಗುವ ಸೈಡ್-ಚಾನೆಲ್ ಸೋರಿಕೆಯನ್ನು ಬಳಸಿಕೊಂಡು ಅಡ್ರೆಸ್ ರ್ಯಾಂಡಮೈಸೇಶನ್ ಬೇಸ್ಡ್ ಲೆವರೇಜ್ (ASLR) ರಕ್ಷಣೆಯನ್ನು ಬೈಪಾಸ್ ಮಾಡಲು ಬ್ಲೈಂಡ್‌ಸೈಡ್ ವಿಧಾನವನ್ನು ಪ್ರಸ್ತಾಪಿಸಿದ ಸಂಶೋಧಕರಿಗೆ ಪ್ರಶಸ್ತಿಯನ್ನು ನೀಡಲಾಯಿತು.
  • ದೊಡ್ಡ ವೈಫಲ್ಯ (ಅತ್ಯಂತ ಮಹಾಕಾವ್ಯ ವಿಫಲ). ನಿಮ್ಮ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುವ Windows ಪ್ರಿಂಟಿಂಗ್ ಸಿಸ್ಟಮ್‌ನಲ್ಲಿ PrintNightmare (CVE-2021-34527) ದುರ್ಬಲತೆಗಾಗಿ ಬಹು-ಬಿಡುಗಡೆ ಮುರಿದ ಪರಿಹಾರಕ್ಕಾಗಿ Microsoft ಗೆ ಪ್ರಶಸ್ತಿಯನ್ನು ನೀಡಲಾಯಿತು. ಮೊದಲಿಗೆ, ಮೈಕ್ರೋಸಾಫ್ಟ್ ಸಮಸ್ಯೆಯನ್ನು ಸ್ಥಳೀಯ ಎಂದು ಫ್ಲ್ಯಾಗ್ ಮಾಡಿದೆ, ಆದರೆ ನಂತರ ದಾಳಿಯನ್ನು ದೂರದಿಂದಲೇ ನಡೆಸಬಹುದೆಂದು ಅದು ಬದಲಾಯಿತು. ನಂತರ ಮೈಕ್ರೋಸಾಫ್ಟ್ ನಾಲ್ಕು ಬಾರಿ ನವೀಕರಣಗಳನ್ನು ಪ್ರಕಟಿಸಿತು, ಆದರೆ ಪ್ರತಿ ಬಾರಿ ಫಿಕ್ಸ್ ವಿಶೇಷ ಪ್ರಕರಣವನ್ನು ಮಾತ್ರ ಮುಚ್ಚಿತು ಮತ್ತು ಸಂಶೋಧಕರು ದಾಳಿಯನ್ನು ನಡೆಸಲು ಹೊಸ ಮಾರ್ಗವನ್ನು ಕಂಡುಕೊಂಡರು.
  • ಕ್ಲೈಂಟ್ ಸಾಫ್ಟ್‌ವೇರ್‌ನಲ್ಲಿ ಉತ್ತಮ ದೋಷ. CC EAL 2020+ ಭದ್ರತಾ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಪಡೆದ ಸುರಕ್ಷಿತ Samsung ಕ್ರಿಪ್ಟೋ ಪ್ರೊಸೆಸರ್‌ಗಳಲ್ಲಿ CVE-28341-5 ದುರ್ಬಲತೆಯನ್ನು ಗುರುತಿಸಿದ ಸಂಶೋಧಕರು ವಿಜೇತರಾಗಿದ್ದಾರೆ. ದುರ್ಬಲತೆಯು ರಕ್ಷಣೆಯನ್ನು ಸಂಪೂರ್ಣವಾಗಿ ಬೈಪಾಸ್ ಮಾಡಲು ಮತ್ತು ಎನ್‌ಕ್ಲೇವ್‌ನಲ್ಲಿ ಸಂಗ್ರಹವಾಗಿರುವ ಚಿಪ್ ಮತ್ತು ಡೇಟಾದಲ್ಲಿ ಕಾರ್ಯಗತಗೊಳಿಸಲಾದ ಕೋಡ್‌ಗೆ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು ಸಾಧ್ಯವಾಗಿಸಿತು, ಸ್ಕ್ರೀನ್ ಸೇವರ್ ಲಾಕ್ ಅನ್ನು ಬೈಪಾಸ್ ಮಾಡುತ್ತದೆ ಮತ್ತು ಗುಪ್ತ ಹಿಂಬಾಗಿಲನ್ನು ರಚಿಸಲು ಫರ್ಮ್‌ವೇರ್‌ನಲ್ಲಿ ಬದಲಾವಣೆಗಳನ್ನು ಮಾಡಲು ಸಾಧ್ಯವಾಗಿಸಿತು.
  • ಅತ್ಯಂತ ಕಡಿಮೆ ಅಂದಾಜು ಮಾಡಿದ ದುರ್ಬಲತೆ. ಎಕ್ಸಿಮ್ ಮೇಲ್ ಸರ್ವರ್‌ನಲ್ಲಿ 21 ನೇಯ್ಲ್ಸ್ ದೋಷಗಳ ಸರಣಿಯನ್ನು ಗುರುತಿಸಿದ್ದಕ್ಕಾಗಿ ಕ್ವಾಲಿಸ್‌ಗೆ ಪ್ರಶಸ್ತಿಯನ್ನು ನೀಡಲಾಯಿತು, ಅದರಲ್ಲಿ 10 ಅನ್ನು ದೂರದಿಂದಲೇ ಬಳಸಿಕೊಳ್ಳಬಹುದು. ಎಕ್ಸಿಮ್ ಡೆವಲಪರ್‌ಗಳು ಸಮಸ್ಯೆಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳುವ ಸಾಧ್ಯತೆಯ ಬಗ್ಗೆ ಸಂದೇಹ ಹೊಂದಿದ್ದರು ಮತ್ತು ಪರಿಹಾರಗಳನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸಲು 6 ತಿಂಗಳುಗಳಿಗಿಂತ ಹೆಚ್ಚು ಕಾಲ ಕಳೆದರು.
  • ತಯಾರಕರ ಅತ್ಯಂತ ಲೇಮರ್ ಪ್ರತಿಕ್ರಿಯೆ (ಲೇಮೆಸ್ಟ್ ವೆಂಡರ್ ರೆಸ್ಪಾನ್ಸ್). ಒಬ್ಬರ ಸ್ವಂತ ಉತ್ಪನ್ನದಲ್ಲಿನ ದುರ್ಬಲತೆಯ ವರದಿಗೆ ಅತ್ಯಂತ ಸೂಕ್ತವಲ್ಲದ ಪ್ರತಿಕ್ರಿಯೆಗಾಗಿ ನಾಮನಿರ್ದೇಶನ. ಫೋರೆನ್ಸಿಕ್ ವಿಶ್ಲೇಷಣೆ ಮತ್ತು ಕಾನೂನು ಜಾರಿಗಾಗಿ ಡೇಟಾ ಮೈನಿಂಗ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ನಿರ್ಮಿಸುವ ಕಂಪನಿಯಾದ ಸೆಲೆಬ್ರೈಟ್ ವಿಜೇತರು. ಸಿಗ್ನಲ್ ಪ್ರೋಟೋಕಾಲ್‌ನ ಲೇಖಕ ಮೋಕ್ಸಿ ಮಾರ್ಲಿನ್‌ಸ್ಪೈಕ್ ಪೋಸ್ಟ್ ಮಾಡಿದ ದುರ್ಬಲತೆಯ ವರದಿಗೆ ಸೆಲೆಬ್ರೈಟ್ ಅನುಚಿತವಾಗಿ ಪ್ರತಿಕ್ರಿಯಿಸಿದ್ದಾರೆ. ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಸಿಗ್ನಲ್ ಸಂದೇಶಗಳನ್ನು ಹ್ಯಾಕಿಂಗ್ ಮಾಡಲು ಅನುಮತಿಸುವ ತಂತ್ರಜ್ಞಾನದ ರಚನೆಯ ಕುರಿತು ಮಾಧ್ಯಮ ಲೇಖನದ ನಂತರ Moxxi ಸೆಲೆಬ್ರೈಟ್‌ನಲ್ಲಿ ಆಸಕ್ತಿ ಹೊಂದಿದ್ದರು, ನಂತರ ಅದನ್ನು ತೆಗೆದುಹಾಕಲಾಯಿತು (" ದಾಳಿ”ಗೆ ಫೋನ್‌ಗೆ ಭೌತಿಕ ಪ್ರವೇಶ ಮತ್ತು ಪರದೆಯನ್ನು ಅನ್‌ಲಾಕ್ ಮಾಡುವ ಸಾಮರ್ಥ್ಯದ ಅಗತ್ಯವಿದೆ, ಅಂದರೆ ಮೆಸೆಂಜರ್‌ನಲ್ಲಿ ಸಂದೇಶಗಳನ್ನು ವೀಕ್ಷಿಸಲು ಕಡಿಮೆಯಾಗಿದೆ, ಆದರೆ ಹಸ್ತಚಾಲಿತವಾಗಿ ಅಲ್ಲ, ಆದರೆ ಬಳಕೆದಾರರ ಕ್ರಿಯೆಗಳನ್ನು ಅನುಕರಿಸುವ ವಿಶೇಷ ಅಪ್ಲಿಕೇಶನ್ ಬಳಸಿ).

    Moxxi ಸೆಲೆಬ್ರೈಟ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ಅಧ್ಯಯನ ಮಾಡಿದರು ಮತ್ತು ವಿಶೇಷವಾಗಿ ವಿನ್ಯಾಸಗೊಳಿಸಿದ ಡೇಟಾವನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡಲು ಪ್ರಯತ್ನಿಸುವಾಗ ಅನಿಯಂತ್ರಿತ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅನುಮತಿಸುವ ನಿರ್ಣಾಯಕ ದೋಷಗಳನ್ನು ಕಂಡುಹಿಡಿದರು. Cellebrite ಅಪ್ಲಿಕೇಶನ್ 9 ವರ್ಷಗಳಿಂದ ನವೀಕರಿಸದ ಹಳೆಯ ffmpeg ಲೈಬ್ರರಿಯನ್ನು ಬಳಸುತ್ತಿರುವುದು ಕಂಡುಬಂದಿದೆ ಮತ್ತು ಹೆಚ್ಚಿನ ಸಂಖ್ಯೆಯ ಅನ್‌ಪ್ಯಾಚ್ ಮಾಡದ ದೋಷಗಳನ್ನು ಹೊಂದಿದೆ. ಸಮಸ್ಯೆಗಳನ್ನು ಅಂಗೀಕರಿಸುವ ಮತ್ತು ಸಮಸ್ಯೆಗಳನ್ನು ಪರಿಹರಿಸುವ ಬದಲು, Celebrite ಬಳಕೆದಾರರ ಡೇಟಾದ ಸಮಗ್ರತೆಯ ಬಗ್ಗೆ ಕಾಳಜಿ ವಹಿಸುತ್ತದೆ, ಸರಿಯಾದ ಮಟ್ಟದಲ್ಲಿ ತನ್ನ ಉತ್ಪನ್ನಗಳ ಸುರಕ್ಷತೆಯನ್ನು ನಿರ್ವಹಿಸುತ್ತದೆ, ನಿಯಮಿತ ನವೀಕರಣಗಳನ್ನು ಬಿಡುಗಡೆ ಮಾಡುತ್ತದೆ ಮತ್ತು ಅದರ ರೀತಿಯ ಅತ್ಯುತ್ತಮ ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ನೀಡುತ್ತದೆ ಎಂದು ಹೇಳಿಕೆಯನ್ನು ನೀಡಿದೆ.

  • ದೊಡ್ಡ ಸಾಧನೆ. ಐಡಿಎ ಡಿಸ್ಅಸೆಂಬಲರ್ ಮತ್ತು ಹೆಕ್ಸ್-ರೇಸ್ ಡಿಕಂಪೈಲರ್‌ನ ಲೇಖಕ ಇಲ್ಫಾಕ್ ಗಿಲ್ಫಾನೊವ್ ಅವರಿಗೆ ಭದ್ರತಾ ಸಂಶೋಧಕರಿಗೆ ಉಪಕರಣಗಳ ಅಭಿವೃದ್ಧಿಗೆ ನೀಡಿದ ಕೊಡುಗೆ ಮತ್ತು 30 ವರ್ಷಗಳವರೆಗೆ ಉತ್ಪನ್ನವನ್ನು ನವೀಕೃತವಾಗಿರಿಸುವ ಸಾಮರ್ಥ್ಯಕ್ಕಾಗಿ ಈ ಪ್ರಶಸ್ತಿಯನ್ನು ನೀಡಲಾಯಿತು.

ಮೂಲ: opennet.ru

ಕಾಮೆಂಟ್ ಅನ್ನು ಸೇರಿಸಿ