ProHoster > Blog > litaba tsa inthanete > Likhau tsa Pwnie tsa 2021: Likotsi tse Bohlokoa ka ho Fetisisa tsa Tšireletso le ho Hloeka

Likhau tsa Pwnie tsa 2021: Likotsi tse Bohlokoa ka ho Fetisisa tsa Tšireletso le ho Hloeka

Bahlōli ba likhau tsa selemo le selemo tsa Pwnie 2021 ba phatlalalitsoe, ho totobatsa bofokoli ba bohlokoa ka ho fetesisa le mefokolo e sa utloahaleng ts'ireletsong ea likhomphutha. Likhau tsa Pwnie li nkuoa li lekana le Oscars le Golden Raspberries lebaleng la ts'ireletso ea likhomphutha.

Bahloli ba ka sehloohong (lenane la bahlolisani):

  • Bofokoli bo fetisisang bo lebisang ho phahamisoeng ha menyetla. Tlhōlo e fuoe Qualys bakeng sa ho tsebahatsa bofokoli ba CVE-2021-3156 ts'ebelisong ea sudo, e u lumellang ho fumana litokelo tsa motso. Bofokoli bo ne bo le teng ka har'a khoutu ka lilemo tse ka bang 10 'me hoa hlokomeleha ka hore ho e tseba ho ne ho hloka tlhahlobo e phethahetseng ea mohopolo oa ts'ebeliso.
  • Phoso e Molemohali ea Seva. E fuoe moputso oa ho khetholla le ho sebelisa phoso e rarahaneng ka ho fetisisa le e khahlisang ka ho fetisisa tšebeletsong ea marang-rang. Moputso o fanoe ka ho khetholla vector e ncha ea tlhaselo ho Microsoft Exchange. Hase bofokoli bohle sehlopheng sena bo phatlalalitsoeng, empa tlhahisoleseling e se e senotsoe ho CVE-2021-26855 (ProxyLogon), e lumellang ho ntšoa ha data ea mosebelisi ntle le netefatso, le CVE-2021-27065, e lumellang ho kenngoa ha khoutu e ikhethileng. seva ka litokelo tsa motsamaisi.
  • Лучшая криптографическая атака. Присуждается за выявление наиболее значимых брешей в реальных системах, протоколах и алгоритмах шифрования. Премия присуждена компании Microsoft за уязвимость (CVE-2020-0601) в реализации цифровых подписей на основе эллиптических кривых, позволяющую сгенерировать закрытые ключи на основе открытых ключей. Проблема позволяла создать поддельные TLS-сертификаты для HTTPS и фиктивные цифровые подписи, которые верифицировались в Windows как заслуживающие доверия.
  • Patlisiso e ncha ka ho fetesisa. Moputso o ile oa fuoa bafuputsi ba ileng ba etsa tlhahiso ea mokhoa oa BlindSide oa ho qoba ts'ireletso e thehiloeng atereseng (ASLR) ba sebelisa ho lutla ha kanale ka lehlakoreng le bakoang ke ho etsoa ha processor e inahaneloang.
  • Самый большой провал (Most Epic FAIL). Премия присуждена компании Microsoft за многократно выпущенное неработающее исправление уязвимости PrintNightmare (CVE-2021-34527) в системе вывода на печать Windows, позволяющей выполнить свой код. Вначале компания Microsoft пометила проблему как локальную, но затем выяснилось, что атака может быть совершена удалённо. Затем Microsoft четыре раза публиковала обновления, но каждый раз исправление закрывало лишь частный случай и исследователи находили новый способ совершения атаки.
  • Molemo ka ho fetisisa kokoanyana ho software ea bareki. Ea hlotseng e ne e le mofuputsi ea khethileng ho ba kotsing ea CVE-2020-28341 ho li-cryptoprocessors tse sireletsehileng tsa Samsung, tse amohetseng setifikeiti sa ts'ireletso sa CC EAL 5+. Bofokoli bo entse hore ho khonehe ho qoba ts'ireletso ka ho feletseng le ho fumana khoutu e sebetsang ho chip le data e bolokiloeng ka har'a enclave, ho feta senotlolo sa skrine, le ho etsa liphetoho ho firmware ho theha backdoor e patiloeng.
  • Khau ea ho ba kotsing e sa lebelloang ka ho fetisisa: Qualys e fuoe khau ka lebaka la ho sibolla letoto la bofokoli ba 21Nails lengolong la imeile. seva Exim, tse 10 tsa tsona li ka sebelisoa hampe hole. Bahlahisi ba Exim ba ne ba belaela ka monyetla oa ho sebelisoa hampe 'me ba qetile likhoeli tse fetang tse tšeletseng ba ntse ba ntlafatsa litokiso.
  • Lamest Morekisi Karabo. Kgetho bakeng sa karabelo e sa lekaneng molaetsa o mabapi le ho ba kotsing sehlahiswang sa hao. Mohloli e ne e le Cellebrite, k'hamphani e etsang likopo tsa tlhahlobo ea forensic le ho ntšoa ha data ke mekhatlo ea molao. Cellebrite ha ea ka ea arabela ka mokhoa o lekaneng tlalehong ea ts'oaetso e rometsoeng ke Moxie Marlinspike, mongoli oa Signal protocol. Moxey o ile a thahasella Cellebrite ka mor'a ho phatlalatsoa mecheng ea litaba ea molaetsa o mabapi le ho thehoa ha theknoloji e lumellang ho senya melaetsa ea Signal e patiloeng, eo hamorao e ileng ea fetoha ea bohata ka lebaka la tlhaloso e fosahetseng ea tlhahisoleseding sehloohong se hlahang websaeteng ea Cellebrite. e ntan'o tlosoa ("tlhaselo" e ne e hloka phihlello ea 'mele ho fono le bokhoni ba ho tlosa senotlolo sa senotlolo, ke hore, se fokotsehile ho shebella melaetsa ho lenģosa, empa eseng ka letsoho, empa ho sebelisa sesebelisoa se khethehileng se etsisang liketso tsa mosebedisi).

    Moxey o ile a ithuta lits'ebetso tsa Cellebrite mme a fumana bofokoli bo boholo moo bo neng bo lumella hore ho sebelisoe khoutu e sa lebelloang ha ho leka ho lekola data e entsoeng ka mokhoa o ikhethileng. Sesebelisoa sa Cellebrite se ile sa boela sa fumanoa se sebelisa laeborari ea khale ea ffmpeg e neng e so ka e ntlafatsoa ka lilemo tse 9 mme e na le palo e kholo ea bofokoli bo sa kang ba ngoloa. Sebakeng sa ho amohela mathata le ho lokisa mathata, Cellebrite o ile a fana ka polelo ea hore e tsotella botšepehi ba data ea mosebedisi, e boloka tšireletseho ea lihlahisoa tsa eona ka tekanyo e nepahetseng, e fana ka lintlafatso kamehla le ho fana ka lisebelisoa tse molemo ka ho fetisisa tsa mofuta oa eona.

  • Katleho e kgolohadi. Moputso o ile oa fuoa Ilfak Gilfanov, sengoli sa IDA disassembler le Hex-Rays decompiler, bakeng sa tlatsetso ea hae ho nts'etsopele ea lisebelisoa tsa bafuputsi ba ts'ireletso le bokhoni ba hae ba ho boloka sehlahisoa sa morao-rao ka lilemo tse 30.

Source: opennet.ru

Reka sebaka se tšepahalang sa libaka tse nang le ts'ireletso ea DDoS, li-server tsa VPS VDS 🔥 Reka sebaka se tšepahalang sa ho amohela webosaete ka tšireletso ea DDoS, li-server tsa VPS VDS | ProHoster