Pwnie Awards 2021- အထူးခြားဆုံး လုံခြုံရေး အားနည်းချက်များနှင့် ပျက်ကွက်မှုများ

နှစ်စဉ် Pwnie Awards 2021 ၏ဆုရရှိသူများကို ဆုံးဖြတ်ပြီး ကွန်ပျူတာလုံခြုံရေးနယ်ပယ်တွင် အထင်ရှားဆုံးသော အားနည်းချက်များနှင့် အဓိပ္ပါယ်မဲ့သောကျရှုံးမှုများကို မီးမောင်းထိုးပြထားပါသည်။ Pwnie Awards သည် ကွန်ပျူတာလုံခြုံရေးအတွက် Oscars နှင့် Golden Raspberry တို့နှင့် ညီမျှသည်ဟု ယူဆပါသည်။

အဓိကဆုရှင်များ (ပြိုင်ဖက်စာရင်း)

• ပိုကောင်းတဲ့ အခွင့်ထူး တိုးမြင့်မှု အားနည်းချက်။ root အခွင့်ထူးများကို ရယူခွင့်ပြုသည့် sudo utility တွင် အားနည်းချက် CVE-2021-3156 ကို ဖော်ထုတ်ခြင်းအတွက် Qualys အား အောင်ပွဲအား ချီးမြှင့်ခဲ့ပါသည်။ အားနည်းချက်သည် ကုဒ်တွင် ရှိနေသည်မှာ 10 နှစ်ခန့်ရှိပြီဖြစ်ပြီး ၎င်းကို ဖော်ထုတ်ရန်အတွက် utility ၏ ယုတ္တိဗေဒကို စေ့စေ့စပ်စပ် ခွဲခြမ်းစိတ်ဖြာရန် လိုအပ်သည့်အတွက် မှတ်သားဖွယ်ဖြစ်ပါသည်။
• အကောင်းဆုံး server bug ။ ကွန်ရက်ဝန်ဆောင်မှုတစ်ခုတွင် နည်းပညာပိုင်းအရ အရှုပ်ထွေးဆုံးနှင့် စိတ်ဝင်စားစရာအကောင်းဆုံး bug ကို ဖော်ထုတ်အသုံးချခြင်းအတွက် ဆုချီးမြှင့်သည်။ Microsoft Exchange တွင် တိုက်ခိုက်ခြင်းဆိုင်ရာ အားနည်းချက်အသစ်ကို ဖော်ထုတ်ခြင်းအတွက် အောင်ပွဲရရှိခဲ့ခြင်း ဖြစ်သည်။ ဤအတန်း၏ အားနည်းချက်များအားလုံးအကြောင်း အချက်အလက်များကို ထုတ်ဝေခြင်းမပြုသော်လည်း၊ အထောက်အထားမခိုင်လုံဘဲ မတရားအသုံးပြုသူတစ်ဦးထံမှ ဒေတာများကို ထုတ်ယူခွင့်ပြုသည့် CVE-2021-26855 (ProxyLogon) အားနည်းချက်နှင့် ပတ်သက်၍ အချက်အလက်များကို ထုတ်ဖော်ထားပြီး၊ စီမံခန့်ခွဲသူအခွင့်အရေးဖြင့် သင့်ကုဒ်ကို ဆာဗာပေါ်တွင် လုပ်ဆောင်ရန် ဖြစ်နိုင်သည်။
• အကောင်းဆုံး cryptographic တိုက်ခိုက်မှု။ စစ်မှန်သောစနစ်များ၊ ပရိုတိုကောများနှင့် ကုဒ်ဝှက်ခြင်းဆိုင်ရာ အယ်လဂိုရီသမ်များတွင် အထင်ရှားဆုံး ချို့ယွင်းချက်များကို ဖော်ထုတ်ခြင်းအတွက် ဆုချီးမြှင့်သည်။ အများသူငှာသော့များမှ သီးသန့်သော့များကို ထုတ်လုပ်နိုင်သည့် elliptic curve ဒစ်ဂျစ်တယ်လက်မှတ်များကို အကောင်အထည်ဖော်ရာတွင် အားနည်းချက်တစ်ခုအတွက် Microsoft အား ဆုချီးမြှင့်ခဲ့သည်။ ပြဿနာက HTTPS အတွက် TLS လက်မှတ်အတုများနှင့် အတုအယောင် ဒစ်ဂျစ်တယ် လက်မှတ်များကို Windows တွင် စိတ်ချယုံကြည်ရသည်ဟု အတည်ပြုထားသည်။
• အဆန်းသစ်ဆုံး သုတေသန။ ပရိုဆက်ဆာ၏ မှန်းဆချက်လုပ်ဆောင်မှုမှ ထွက်ပေါ်လာသော ဘေးထွက်ချန်နယ်ပေါက်ကြားမှုများကို အသုံးပြုခြင်းဖြင့် လိပ်စာကျပန်းပြုခြင်း-အခြေခံ (ASLR) ကို ကျော်ဖြတ်ရန်အတွက် BlindSide နည်းလမ်းကို အဆိုပြုခဲ့သော သုတေသီများအား ဆုချီးမြှင့်ခဲ့သည်။
• အကြီးမားဆုံး ကျရှုံးမှု (Most Epic FAIL)။ သင့်ကုဒ်ကို လုပ်ဆောင်နိုင်စေမည့် Windows ပုံနှိပ်စနစ်ရှိ PrintNightmare (CVE-2021-34527) အားနည်းချက်အတွက် အများအပြားထုတ်လွှတ်မှု ကျိုးပဲ့နေသော ပြုပြင်မှုအတွက် Microsoft အား ဆုချီးမြှင့်ခဲ့သည်။ အစပိုင်းမှာတော့ Microsoft က ပြဿနာကို local အဖြစ် အလံပြခဲ့ပေမယ့် နောက်ပိုင်းမှာ တိုက်ခိုက်မှုကို အဝေးကနေ လုပ်ဆောင်နိုင်ခဲ့တယ်လို့ ဆိုပါတယ်။ ထို့နောက် Microsoft သည် အပ်ဒိတ်များကို လေးကြိမ်တိုင်တိုင် ထုတ်ပြန်ခဲ့သော်လည်း ပြုပြင်မှုအား အကြိမ်တိုင်းတွင် အထူးကိစ္စရပ်တစ်ခုသာ ပိတ်ခဲ့ပြီး သုတေသီများက တိုက်ခိုက်မှုကို အကောင်အထည်ဖော်ရန် နည်းလမ်းသစ်ကို တွေ့ရှိခဲ့သည်။
• client software တွင် အကောင်းဆုံး bug။ အနိုင်ရရှိသူမှာ CC EAL 2020+ လုံခြုံရေးလက်မှတ်ရရှိထားသည့် လုံခြုံသော Samsung crypto ပရိုဆက်ဆာများတွင် CVE-28341-5 အားနည်းချက်ကို ဖော်ထုတ်ခဲ့သည့် သုတေသီဖြစ်သည်။ အားနည်းချက်သည် အကာအကွယ်ကို လုံးလုံးလျားလျားကျော်ဖြတ်ပြီး အဝိုင်းအတွင်း သိမ်းဆည်းထားသော ချစ်ပ်ပေါ်ရှိ ကုဒ်နှင့် ဒေတာကို ဝင်ရောက်ခွင့် ရရှိစေကာ၊ စခရင်ချွေတာလော့ခ်ကို ရှောင်ကွင်းကာ ဝှက်ထားသော နောက်ခံတံခါးကို ဖန်တီးရန် ဖိုင်မ်ဝဲကိုလည်း အပြောင်းအလဲများ ပြုလုပ်နိုင်စေခဲ့သည်။
• လျှော့တွက်မှုအများဆုံး အားနည်းချက်။ Exim mail ဆာဗာရှိ 21Nails အားနည်းချက်များကို ခွဲခြားသတ်မှတ်ခြင်းအတွက် Qualys အား ဆုပေးခဲ့ပြီး ၎င်းတို့ထဲမှ 10 ခုကို အဝေးမှ အသုံးချနိုင်သည်။ Exim developer များသည် ပြဿနာများကို အသုံးချရန် ဖြစ်နိုင်ခြေကို သံသယရှိခဲ့ကြပြီး ပြုပြင်မှုများကို 6 လကျော်ကြာ အသုံးပြုခဲ့ကြသည်။
• ထုတ်လုပ်သူ၏ အဆိုးဆုံးတုံ့ပြန်မှု (Lamest Vendor Response)။ တစ်ဦး၏ကိုယ်ပိုင်ထုတ်ကုန်ရှိ အားနည်းချက်အစီရင်ခံချက်အတွက် အသင့်လျော်ဆုံးတုံ့ပြန်မှုအတွက် အမည်စာရင်းတင်သွင်းခြင်း။ အနိုင်ရရှိသူမှာ တရားဥပဒေစိုးမိုးရေးအတွက် မှုခင်းဆေးပညာဆိုင်ရာ ခွဲခြမ်းစိတ်ဖြာခြင်းနှင့် ဒေတာတူးဖော်ခြင်းဆိုင်ရာ အပလီကေးရှင်းများကို ဖန်တီးသည့် Cellebrite ကုမ္ပဏီဖြစ်သည်။ Cellebrite သည် Signal protocol ရေးသားသူ Moxie Marlinspike မှ တင်ထားသော အားနည်းချက် အစီရင်ခံစာကို သင့်လျော်စွာ တုံ့ပြန်ခဲ့သည်။ Cellebrite ဝဘ်ဆိုဒ်ရှိ ဆောင်းပါးတစ်ပုဒ်တွင် အချက်အလက်များ လွဲမှားစွာ အဓိပ္ပာယ်ဖွင့်ဆိုမှုကြောင့် နောက်ပိုင်းတွင် အတုအပအဖြစ် ပြောင်းလဲသွားသည့် ကုဒ်ဝှက်ထားသော Signal မက်ဆေ့ချ်များကို ဟက်ကာလုပ်ခွင့်ပြုသည့် နည်းပညာဖန်တီးမှုအကြောင်း မီဒီယာဆောင်းပါးတစ်ခု ဖန်တီးပြီးနောက် Moxxi သည် Cellebrite ကို စိတ်ဝင်စားလာခဲ့သည်။ တိုက်ခိုက်မှု” သည် ဖုန်းသို့ ရုပ်ပိုင်းဆိုင်ရာဝင်ရောက်ခွင့်နှင့် မျက်နှာပြင်သော့ဖွင့်နိုင်မှုတို့ လိုအပ်သည်၊ ဆိုလိုသည်မှာ messenger တွင် မက်ဆေ့ချ်များကို ကြည့်ရှုခြင်းသို့ လျှော့ချနိုင်သော်လည်း ကိုယ်တိုင်မဟုတ်ဘဲ၊ အသုံးပြုသူလုပ်ဆောင်ချက်များကို အတုယူသည့် အထူးအပလီကေးရှင်းကို အသုံးပြုခြင်း)။

  Moxxi သည် Cellebrite အပလီကေးရှင်းများကို လေ့လာပြီး အထူးဒီဇိုင်းထုတ်ထားသော အချက်အလက်များကို စကင်န်ဖတ်သောအခါတွင် မထင်သလိုကုဒ်ကို လုပ်ဆောင်နိုင်စေမည့် အရေးကြီးသော အားနည်းချက်များကို တွေ့ရှိခဲ့သည်။ Cellebrite အပလီကေးရှင်းသည် ၉ နှစ်ကြာ အပ်ဒိတ်မလုပ်ရသေးသော ခေတ်မမီတော့သော ffmpeg စာကြည့်တိုက်ကို အသုံးပြုနေပြီး ဖာထေးခြင်းမပြုရသေးသည့် အားနည်းချက်များစွာပါရှိသည်။ ပြဿနာများကို အသိအမှတ်ပြုပြီး ပြဿနာများကို ပြုပြင်ပေးမည့်အစား Cellebrite သည် သုံးစွဲသူဒေတာ၏ ခိုင်မာမှုကို အလေးထားကြောင်း၊ ၎င်း၏ထုတ်ကုန်များ၏ လုံခြုံရေးကို သင့်လျော်သောအဆင့်တွင် ထိန်းသိမ်းထားကာ ပုံမှန်အပ်ဒိတ်များကို ထုတ်ပြန်ကာ အကောင်းဆုံးသော အပလီကေးရှင်းများကို ပေးဆောင်ကြောင်း ကြေညာချက်ထုတ်ပြန်ခဲ့သည်။

• အကြီးမားဆုံးအောင်မြင်မှု။ လုံခြုံရေးသုတေသီများအတွက် ကိရိယာများ ဖွံ့ဖြိုးတိုးတက်မှုနှင့် ထုတ်ကုန်ကို နှစ် 30 အထိ ခေတ်မမီအောင် ထိန်းသိမ်းနိုင်မှုတို့အတွက် IDA disassembler နှင့် Hex-Rays decompiler ရေးသားသူ Ilfak Gilfanov အား ဆုချီးမြှင့်ခဲ့သည်။

source: opennet.ru