Жыл сайын өткөрүлүүчү Pwnie Awards 2021 сыйлыгынын жеңүүчүлөрү аныкталды, алар компьютердик коопсуздук чөйрөсүндөгү эң олуттуу кемчиликтерди жана абсурддуу мүчүлүштүктөрдү белгилешти. Pwnie сыйлыктары компьютердик коопсуздук боюнча «Оскар» жана «Алтын малина» сыйлыктарынын эквиваленти катары каралат.
Негизги жеңүүчүлөр (талапкерлердин тизмеси):
- Жакшыраак артыкчылыктарды жогорулатуу аялуу. Жеңиш Qualys компаниясына root артыкчылыктарын алууга мүмкүндүк берген sudo утилитасындагы CVE-2021-3156 аялуулугун аныктаганы үчүн ыйгарылды. Алсыздык кодексте 10 жылга жакын убакыттан бери бар жана аны аныктоо үчүн утилитанын логикасын кылдат талдоо талап кылынгандыгы менен өзгөчөлөнөт.
- Мыкты сервер катасы. Тармак кызматындагы техникалык жактан эң татаал жана кызыктуу мүчүлүштүктөрдү аныктоо жана пайдалануу үчүн сыйланган. Жеңиш Microsoft Exchangeде чабуулдардын жаңы векторун аныктаганы үчүн берилди. Бул класстын бардык алсыздыктары жөнүндө маалымат жарыяланган эмес, бирок CVE-2021-26855 (ProxyLogon) жана CVE-2021-27065 аутентификациясы жок ыктыярдуу колдонуучудан маалыматтарды чыгарууга мүмкүндүк берет. сиздин кодуңузду администратордук укуктарга ээ серверде аткарууга болот.
- Эң мыкты криптографиялык чабуул. Чыныгы системалардагы, протоколдордогу жана шифрлөө алгоритмдериндеги эң олуттуу кемчиликтерди аныктоо үчүн сыйлык ыйгарылат. Сыйлык Microsoft компаниясына ачык ачкычтардан купуя ачкычтарды түзө алган эллиптикалык ийри санариптик кол тамгаларды ишке ашыруудагы аялуулугу үчүн (CVE-2020-0601) берилди. Көйгөй HTTPS жана жасалма санарип кол тамгалар үчүн жасалма TLS сертификаттарын түзүүгө мүмкүндүк берди, алар Windowsта ишенимдүү деп ырасталды.
- Эң новатордук изилдөө. Сыйлык процессор тарабынан нускамаларды спекулятивдүү аткаруунун натыйжасында каптал каналдын агып кетишин колдонуу менен даректи рандомизацияга негизделген (ASLR) коргоону кыйгап өтүү үчүн BlindSide ыкмасын сунуштаган изилдөөчүлөргө берилди.
- Эң чоң мүчүлүштүктөр (Эң Эпикалык ИШКЕ АЛДЫ). Сыйлык Microsoftко Windows басып чыгаруу тутумундагы PrintNightmare (CVE-2021-34527) кемчилиги үчүн кодуңузду аткарууга мүмкүндүк берген бир нече релиздеги бузулган оңдоосу үчүн берилди. Адегенде Microsoft бул көйгөйдү жергиликтүү деп белгилеген, бирок кийин чабуул алыстан жүргүзүлүшү мүмкүн экени белгилүү болду. Андан кийин Microsoft төрт жолу жаңыртууларды жарыялады, бирок ар бир жолу оңдоо өзгөчө ишти гана жаап, изилдөөчүлөр чабуулду ишке ашыруунун жаңы жолун табышты.
- Кардардын программалык камсыздоосундагы эң мыкты ката. Жеңүүчү деп CC EAL 2020+ коопсуздук сертификатын алган коопсуз Samsung крипто процессорлорунун CVE-28341-5 аялуулугун аныктаган изилдөөчү табылды. Алсыздык коргоону толугу менен айланып өтүп, чипте аткарылган кодго жана анклавда сакталган маалыматтарга жетүүгө, экран сактагычтын кулпусун айланып өтүүгө, ошондой эле жашыруун бэкдорду түзүү үчүн микропрограммага өзгөртүүлөрдү киргизүүгө мүмкүндүк берди.
- Эң бааланбаган аялуу. Сыйлык Qualys компаниясына Exim почта сервериндеги 21Nails бир катар кемчиликтерди аныктаганы үчүн берилди, алардын 10ун алыстан колдонууга болот. Exim иштеп чыгуучулары көйгөйлөрдү пайдалануу мүмкүнчүлүгүнөн күмөн санашкан жана оңдоолорду иштеп чыгууга 6 айдан ашык убакыт коротушкан.
- Өндүрүүчүнүн эң акырын реакциясы (Lamest Vendor Response). Өз өнүмүндөгү аялуу отчетуна эң туура эмес жооп үчүн номинация. Жеңүүчү болуп укук коргоо органдары үчүн соттук-медициналык анализ жана маалыматтарды иштеп чыгуу боюнча тиркемелерди түзгөн Cellebrite компаниясы табылды. Cellebrite Сигнал протоколунун автору Мокси Марлинспик тарабынан жарыяланган аялуу отчетуна туура эмес жооп берди. Моксси Cellebrite сайтына шифрленген Signal билдирүүлөрүн хакерлик кылууга мүмкүндүк берүүчү технологияны түзүү жөнүндө медиа макаласынан кийин кызыгып, кийинчерээк Cellebrite веб-сайтындагы макаладагы маалыматты туура эмес чечмелөөдөн улам фейк болуп чыкты, кийин ал алынып салынды (« чабуул» телефонго физикалык жетүү жана экрандын кулпусун ачуу мүмкүнчүлүгүн талап кылды, б.а. мессенджердеги билдирүүлөрдү көрүү үчүн кыскартылган, бирок кол менен эмес, колдонуучунун аракеттерин имитациялаган атайын тиркемени колдонуу менен).
Moxxi Cellebrite тиркемелерин изилдеп, ал жерден атайын иштелип чыккан маалыматтарды сканерлөө үчүн каалаган кодду ишке ашырууга мүмкүндүк берген олуттуу кемчиликтерди тапты. Cellebrite тиркемеси ошондой эле 9 жылдан бери жаңыртылбаган жана жаңыртылбаган көптөгөн кемчиликтерди камтыган эскирген ffmpeg китепканасын колдонуп жатканы аныкталган. Көйгөйлөрдү моюнга алуунун жана көйгөйлөрдү чечүүнүн ордуна, Cellebrite колдонуучу маалыматтарынын бүтүндүгүнө кам көрөөрүн, өз өнүмдөрүнүн коопсуздугун талаптагыдай деңгээлде сактай турганын, үзгүлтүксүз жаңыртууларды чыгарып, ушул түрдөгү эң мыкты тиркемелерди жеткирип тургандыгы тууралуу билдирүү жасады.
- Эң чоң жетишкендик. Сыйлык IDA disassembler жана Hex-Rays декомпиляторунун автору Ильфак Гилфановго коопсуздук изилдөөчүлөрү үчүн куралдарды иштеп чыгууга кошкон салымы жана өнүмдү 30 жыл бою жаңыртып туруу жөндөмү үчүн ыйгарылды.
Source: opennet.ru