ప్రోహోస్టర్ > బ్లాగ్ > ఇంటర్నెట్ వార్తలు > Pwnie అవార్డ్స్ 2019: అత్యంత ముఖ్యమైన భద్రతా లోపాలు మరియు వైఫల్యాలు

Pwnie అవార్డ్స్ 2019: అత్యంత ముఖ్యమైన భద్రతా లోపాలు మరియు వైఫల్యాలు

లాస్ వెగాస్‌లో జరిగిన బ్లాక్ హ్యాట్ USA సమావేశంలో జరిగింది బహుమతి ప్రధానోత్సవం ప్నీ అవార్డ్స్ 2019, ఇది కంప్యూటర్ సెక్యూరిటీ రంగంలో అత్యంత ముఖ్యమైన దుర్బలత్వాలు మరియు అసంబద్ధ వైఫల్యాలను హైలైట్ చేస్తుంది. ప్నీ అవార్డ్స్ కంప్యూటర్ సెక్యూరిటీ రంగంలో ఆస్కార్ మరియు గోల్డెన్ రాస్‌బెర్రీస్‌కి సమానమైనవిగా పరిగణించబడతాయి మరియు 2007 నుండి ఏటా నిర్వహించబడుతున్నాయి.

ప్రధాన విజేతలు и నామినేషన్లు:

  • ఉత్తమ సర్వర్ బగ్. నెట్‌వర్క్ సేవలో అత్యంత సాంకేతికంగా సంక్లిష్టమైన మరియు ఆసక్తికరమైన బగ్‌ను గుర్తించి, ఉపయోగించుకున్నందుకు అవార్డు. విజేతలు పరిశోధకులు వెల్లడించారు VPN ప్రొవైడర్ పల్స్ సెక్యూర్‌లో దుర్బలత్వం, దీని VPN సేవను Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, US నేవీ, US డిపార్ట్‌మెంట్ ఆఫ్ హోమ్‌ల్యాండ్ సెక్యూరిటీ (DHS) మరియు బహుశా సగం మంది ఉపయోగిస్తున్నారు. ఫార్చ్యూన్ 500 జాబితా నుండి కంపెనీలు. పరిశోధకులు ఒక బ్యాక్‌డోర్‌ను కనుగొన్నారు, ఇది ఏ యూజర్ యొక్క పాస్‌వర్డ్‌ను మార్చడానికి అనధికారిక దాడి చేసేవారిని అనుమతిస్తుంది. HTTPS పోర్ట్ మాత్రమే తెరిచిన VPN సర్వర్‌కు రూట్ యాక్సెస్‌ని పొందడానికి సమస్యను ఉపయోగించుకునే అవకాశం ప్రదర్శించబడింది;

    బహుమతి పొందని అభ్యర్థులలో, ఈ క్రింది వాటిని గమనించవచ్చు:

    • ప్రామాణీకరణకు ముందు దశలో ఆపరేట్ చేయబడింది దుర్బలత్వం జెంకిన్స్ నిరంతర ఇంటిగ్రేషన్ సిస్టమ్‌లో, ఇది సర్వర్‌లో కోడ్‌ని అమలు చేయడానికి మిమ్మల్ని అనుమతిస్తుంది. సర్వర్‌లలో క్రిప్టోకరెన్సీ మైనింగ్‌ను నిర్వహించడానికి బాట్‌లచే బలహీనత చురుకుగా ఉపయోగించబడుతుంది;
    • క్లిష్టమైన దుర్బలత్వం ఎగ్జిమ్ మెయిల్ సర్వర్‌లో, రూట్ హక్కులతో సర్వర్‌లో కోడ్‌ను అమలు చేయడానికి మిమ్మల్ని అనుమతిస్తుంది;
    • దుర్బలత్వాలు Xiongmai XMeye P2P IP కెమెరాలలో, మీరు పరికరాన్ని నియంత్రించడానికి అనుమతిస్తుంది. కెమెరాలు ఇంజనీరింగ్ పాస్‌వర్డ్‌తో సరఫరా చేయబడ్డాయి మరియు ఫర్మ్‌వేర్‌ను నవీకరించేటప్పుడు డిజిటల్ సంతకం ధృవీకరణను ఉపయోగించలేదు;
    • క్లిష్టమైన దుర్బలత్వం Windowsలో RDP ప్రోటోకాల్ అమలులో, ఇది మీ కోడ్‌ను రిమోట్‌గా అమలు చేయడానికి మిమ్మల్ని అనుమతిస్తుంది;
    • దుర్బలత్వం WordPressలో, చిత్రం ముసుగులో PHP కోడ్‌ని లోడ్ చేయడంతో అనుబంధించబడింది. సమస్య సర్వర్‌లో ఏకపక్ష కోడ్‌ను అమలు చేయడానికి మిమ్మల్ని అనుమతిస్తుంది, సైట్‌లోని ప్రచురణల రచయిత (రచయిత) యొక్క అధికారాలను కలిగి ఉంటుంది;
  • ఉత్తమ క్లయింట్ సాఫ్ట్‌వేర్ బగ్. సులభంగా ఉపయోగించగలిగేది విజేత దుర్బలత్వం Apple FaceTime గ్రూప్ కాలింగ్ సిస్టమ్‌లో, గ్రూప్ కాల్‌ని ప్రారంభించే వ్యక్తి కాల్‌ను కాల్‌ను అంగీకరించేలా బలవంతంగా అనుమతిస్తుంది (ఉదాహరణకు, వినడం మరియు స్నూపింగ్ కోసం).

    బహుమతికి కూడా నామినేట్ చేయబడ్డాయి:

    • దుర్బలత్వం ప్రత్యేకంగా రూపొందించిన వాయిస్ కాల్‌ని పంపడం ద్వారా మీ కోడ్‌ని అమలు చేయడానికి మిమ్మల్ని అనుమతించే WhatsAppలో;
    • దుర్బలత్వం క్రోమ్ బ్రౌజర్‌లో ఉపయోగించే స్కియా గ్రాఫిక్స్ లైబ్రరీలో, కొన్ని రేఖాగణిత పరివర్తనలలో ఫ్లోటింగ్ పాయింట్ ఎర్రర్‌ల కారణంగా మెమరీ అవినీతికి దారితీయవచ్చు;
  • ప్రివిలేజ్ దుర్బలత్వం యొక్క ఉత్తమ ఎలివేషన్. గుర్తించినందుకు విజయాన్ని అందజేసారు దుర్బలత్వాలు iOS కెర్నల్‌లో, ipc_voucher ద్వారా ఉపయోగించుకోవచ్చు, Safari బ్రౌజర్ ద్వారా యాక్సెస్ చేయవచ్చు.

    బహుమతికి కూడా నామినేట్ చేయబడ్డాయి:

    • దుర్బలత్వం Windowsలో, CreateWindowEx (win32k.sys) ఫంక్షన్‌తో మానిప్యులేషన్స్ ద్వారా సిస్టమ్‌పై పూర్తి నియంత్రణను పొందేందుకు మిమ్మల్ని అనుమతిస్తుంది. మాల్వేర్ యొక్క విశ్లేషణ సమయంలో సమస్య గుర్తించబడింది, అది పరిష్కరించబడక ముందే దుర్బలత్వాన్ని ఉపయోగించుకుంది;
    • దుర్బలత్వం runc మరియు LXCలో, డాకర్ మరియు ఇతర కంటైనర్ ఐసోలేషన్ సిస్టమ్‌లను ప్రభావితం చేస్తుంది, దాడి చేసేవారిచే నియంత్రించబడే ఒక వివిక్త కంటైనర్‌ను runc ఎక్జిక్యూటబుల్ ఫైల్‌ను మార్చడానికి మరియు హోస్ట్ సిస్టమ్ వైపు రూట్ అధికారాలను పొందేందుకు అనుమతిస్తుంది;
    • దుర్బలత్వం iOS (CFPrefsDaemon)లో, ఇది ఐసోలేషన్ మోడ్‌లను దాటవేయడానికి మరియు రూట్ హక్కులతో కోడ్‌ని అమలు చేయడానికి మిమ్మల్ని అనుమతిస్తుంది;
    • దుర్బలత్వం ఆండ్రాయిడ్‌లో ఉపయోగించిన Linux TCP స్టాక్ ఎడిషన్‌లో, స్థానిక వినియోగదారు పరికరంలో వారి అధికారాలను పెంచుకోవడానికి అనుమతిస్తుంది;
    • దుర్బలత్వాలు systemd-journaldలో, ఇది రూట్ హక్కులను పొందేందుకు మిమ్మల్ని అనుమతిస్తుంది;
    • దుర్బలత్వం /tmp శుభ్రపరచడానికి tmpreaper యుటిలిటీలో, ఇది ఫైల్ సిస్టమ్‌లోని ఏదైనా భాగంలో మీ ఫైల్‌ను సేవ్ చేయడానికి మిమ్మల్ని అనుమతిస్తుంది;
  • ఉత్తమ క్రిప్టోగ్రాఫిక్ దాడి. రియల్ సిస్టమ్‌లు, ప్రోటోకాల్‌లు మరియు ఎన్‌క్రిప్షన్ అల్గారిథమ్‌లలో అత్యంత ముఖ్యమైన అంతరాలను గుర్తించినందుకు అవార్డు. గుర్తించినందుకు బహుమతి లభించింది దుర్బలత్వాలు WPA3 వైర్‌లెస్ నెట్‌వర్క్ సెక్యూరిటీ టెక్నాలజీ మరియు EAP-pwdలో, ఇది కనెక్షన్ పాస్‌వర్డ్‌ను పునఃసృష్టించడానికి మరియు పాస్‌వర్డ్ తెలియకుండానే వైర్‌లెస్ నెట్‌వర్క్‌కు ప్రాప్యతను పొందడానికి మిమ్మల్ని అనుమతిస్తుంది.

    అవార్డు కోసం ఇతర అభ్యర్థులు:

    • పద్ధతి ఇమెయిల్ క్లయింట్‌లలో PGP మరియు S/MIME ఎన్‌క్రిప్షన్‌పై దాడులు;
    • అప్లికేషన్ ఎన్‌క్రిప్టెడ్ బిట్‌లాకర్ విభజనల కంటెంట్‌లకు యాక్సెస్ పొందడానికి కోల్డ్ బూట్ పద్ధతి;
    • దుర్బలత్వం OpenSSLలో, ఇది తప్పు పాడింగ్ మరియు తప్పు MAC స్వీకరించే పరిస్థితులను వేరు చేయడానికి మిమ్మల్ని అనుమతిస్తుంది. ప్యాడింగ్ ఒరాకిల్‌లో సున్నా బైట్‌లను తప్పుగా నిర్వహించడం వల్ల సమస్య ఏర్పడింది;
    • సమస్యలు SAMLని ఉపయోగించి జర్మనీలో ఉపయోగించే ID కార్డులతో;
    • సమస్య ChromeOSలో U2F టోకెన్‌ల కోసం మద్దతు అమలులో యాదృచ్ఛిక సంఖ్యల ఎంట్రోపీతో;
    • దుర్బలత్వం మోనోసైఫర్‌లో, దీని కారణంగా శూన్య EdDSA సంతకాలు సరైనవిగా గుర్తించబడ్డాయి.
  • అత్యంత వినూత్నమైన పరిశోధన. సాంకేతికతను అభివృద్ధి చేసిన వ్యక్తికి బహుమతి లభించింది వెక్టరైజ్డ్ ఎమ్యులేషన్, ఇది ప్రోగ్రామ్ ఎగ్జిక్యూషన్‌ను అనుకరించడానికి AVX-512 వెక్టర్ సూచనలను ఉపయోగిస్తుంది, ఇది అస్పష్టమైన పరీక్ష వేగం (సెకనుకు 40-120 బిలియన్ సూచనల వరకు) గణనీయమైన పెరుగుదలను అనుమతిస్తుంది. ఈ సాంకేతికత ప్రతి CPU కోర్ 8 64-బిట్ లేదా 16 32-బిట్ వర్చువల్ మిషన్‌లను అప్లికేషన్ యొక్క అస్పష్టమైన పరీక్ష కోసం సూచనలతో సమాంతరంగా అమలు చేయడానికి అనుమతిస్తుంది.

    కింది వారు అవార్డుకు అర్హులు:

    • దుర్బలత్వం MS Excel నుండి పవర్ క్వెరీ టెక్నాలజీలో, ఇది ప్రత్యేకంగా రూపొందించిన స్ప్రెడ్‌షీట్‌లను తెరిచేటప్పుడు కోడ్ అమలు మరియు బైపాస్ అప్లికేషన్ ఐసోలేషన్ పద్ధతులను నిర్వహించడానికి మిమ్మల్ని అనుమతిస్తుంది;
    • పద్ధతి టెస్లా కార్ల ఆటోపైలట్‌ను మోసగించడం, రాబోయే లేన్‌లోకి డ్రైవింగ్‌ను ప్రేరేపించడం;
    • పని ASICS చిప్ సిమెన్స్ S7-1200 యొక్క రివర్స్ ఇంజనీరింగ్;
    • సోనార్ స్నూప్ - సోనార్ ఆపరేషన్ సూత్రం ఆధారంగా ఫోన్ అన్‌లాక్ కోడ్‌ను గుర్తించడానికి ఫింగర్ మూవ్‌మెంట్ ట్రాకింగ్ టెక్నిక్ - స్మార్ట్‌ఫోన్ ఎగువ మరియు దిగువ స్పీకర్లు వినబడని వైబ్రేషన్‌లను ఉత్పత్తి చేస్తాయి మరియు అంతర్నిర్మిత మైక్రోఫోన్‌లు వాటి నుండి ప్రతిబింబించే వైబ్రేషన్‌ల ఉనికిని విశ్లేషించడానికి వాటిని ఎంచుకుంటాయి. చెయ్యి;
    • డిజైన్ NSA యొక్క ఘిద్రా రివర్స్ ఇంజనీరింగ్ టూల్‌కిట్;
    • SAFE - బైనరీ సమావేశాల విశ్లేషణ ఆధారంగా అనేక ఎక్జిక్యూటబుల్ ఫైల్‌లలో ఒకే విధమైన ఫంక్షన్‌ల కోసం కోడ్‌ను ఉపయోగించడాన్ని నిర్ణయించే సాంకేతికత;
    • సృష్టి డిజిటల్ సంతకం ధృవీకరణ లేకుండా సవరించిన UEFI ఫర్మ్‌వేర్‌ను లోడ్ చేయడానికి ఇంటెల్ బూట్ గార్డ్ మెకానిజంను దాటవేయడానికి ఒక పద్ధతి.
  • విక్రేత నుండి అత్యంత కుంటి స్పందన (లామెస్ట్ వెండర్ రెస్పాన్స్). మీ స్వంత ఉత్పత్తిలో దుర్బలత్వం గురించిన సందేశానికి చాలా సరిపోని ప్రతిస్పందన కోసం నామినేషన్. విజేతలు బిట్‌ఫై క్రిప్టో వాలెట్ డెవలపర్‌లు, వారు తమ ఉత్పత్తి యొక్క అల్ట్రా-సెక్యూరిటీ గురించి కేకలు వేస్తారు, వాస్తవానికి ఇది ఊహాత్మకమైనది, హానిని గుర్తించే పరిశోధకులను వేధించడం మరియు సమస్యలను గుర్తించడానికి వాగ్దానం చేసిన బోనస్‌లను చెల్లించడం లేదు;

    అవార్డు కోసం దరఖాస్తుదారులలో కూడా పరిగణించబడుతుంది:

    • ఒక భద్రతా పరిశోధకుడు అతను గుర్తించిన దుర్బలత్వంపై నివేదికను తీసివేయమని బలవంతం చేయడానికి ఏట్రియంట్ డైరెక్టర్ తనపై దాడి చేశారని ఆరోపించాడు, అయితే దర్శకుడు ఆ సంఘటనను ఖండించాడు మరియు నిఘా కెమెరాలు దాడిని రికార్డ్ చేయలేదు;
    • క్లిష్టమైన సమస్యను పరిష్కరించడంలో జూమ్ ఆలస్యమైంది దుర్బలత్వాలు దాని కాన్ఫరెన్సింగ్ వ్యవస్థలో మరియు పబ్లిక్ బహిర్గతం తర్వాత మాత్రమే సమస్యను సరిదిద్దింది. బ్రౌజర్‌లో ప్రత్యేకంగా రూపొందించిన పేజీని తెరిచేటప్పుడు మాకోస్ వినియోగదారుల వెబ్ కెమెరాల నుండి డేటాను పొందేందుకు బాహ్య దాడి చేసే వ్యక్తిని దుర్బలత్వం అనుమతించింది (స్థానిక అప్లికేషన్ నుండి ఆదేశాలను స్వీకరించిన క్లయింట్ వైపు జూమ్ http సర్వర్‌ను ప్రారంభించింది).
    • 10 సంవత్సరాలకు పైగా సరిదిద్దడంలో వైఫల్యం సమస్య OpenPGP క్రిప్టోగ్రాఫిక్ కీ సర్వర్‌లతో, కోడ్ నిర్దిష్ట OCaml భాషలో వ్రాయబడింది మరియు మెయింటెయినర్ లేకుండానే ఉంటుంది.

    ఇంకా అత్యంత హైప్ చేయబడిన దుర్బలత్వ ప్రకటన. ఇంటర్నెట్ మరియు మీడియాలో సమస్య యొక్క అత్యంత దయనీయమైన మరియు పెద్ద-స్థాయి కవరేజీకి అవార్డు ఇవ్వబడింది, ప్రత్యేకించి ఆచరణలో దుర్బలత్వం అంతిమంగా ఉపయోగించలేనిదిగా మారినట్లయితే. బ్లూమ్‌బెర్గ్‌కు ఈ బహుమతి లభించింది అప్లికేషన్ సూపర్ మైక్రో బోర్డులలో స్పై చిప్‌ల గుర్తింపు గురించి, ఇది ధృవీకరించబడలేదు మరియు మూలం ఖచ్చితంగా సూచించబడింది ఇతర సమాచారం.

    నామినేషన్‌లో పేర్కొన్నారు:

    • libssh లో దుర్బలత్వం, ఇది తాకింది సింగిల్ సర్వర్ అప్లికేషన్‌లు (libssh సర్వర్‌ల కోసం దాదాపుగా ఉపయోగించబడదు), కానీ ఏదైనా OpenSSH సర్వర్‌పై దాడి చేయడానికి అనుమతించే దుర్బలత్వంగా NCC గ్రూప్ ద్వారా అందించబడింది.
    • DICOM చిత్రాలను ఉపయోగించి దాడి చేయండి. మీరు Windows కోసం ఎక్జిక్యూటబుల్ ఫైల్‌ను సిద్ధం చేయవచ్చు, అది చెల్లుబాటు అయ్యే DICOM చిత్రం వలె కనిపిస్తుంది. ఈ ఫైల్‌ను వైద్య పరికరానికి డౌన్‌లోడ్ చేసి, అమలు చేయవచ్చు.
    • దుర్బలత్వం థ్రాంగ్రీక్యాట్, ఇది సిస్కో పరికరాలలో సురక్షిత బూట్ మెకానిజంను దాటవేయడానికి మిమ్మల్ని అనుమతిస్తుంది. దుర్బలత్వం ఓవర్‌బ్లోన్ సమస్యగా వర్గీకరించబడింది ఎందుకంటే దీనికి దాడి చేయడానికి రూట్ హక్కులు అవసరం, అయితే దాడి చేసే వ్యక్తి ఇప్పటికే రూట్ యాక్సెస్‌ను పొందగలిగితే, మనం ఏ భద్రత గురించి మాట్లాడగలం. మీరు ఫ్లాష్‌లో శాశ్వత బ్యాక్‌డోర్‌ను పరిచయం చేయడానికి అనుమతించినందున, దుర్బలత్వం చాలా తక్కువగా అంచనా వేయబడిన సమస్యల విభాగంలో కూడా గెలిచింది;
  • అతిపెద్ద వైఫల్యం (అత్యంత ఎపిక్ ఫెయిల్). బిగ్గరగా హెడ్‌లైన్స్‌తో కూడిన సంచలనాత్మక కథనాల శ్రేణికి ఈ విజయం బ్లూమ్‌బెర్గ్‌కు అందించబడింది, అయితే వాస్తవాలు, మూలాలను అణచివేయడం, కుట్ర సిద్ధాంతాలలోకి దిగడం, "సైబర్‌వెపన్స్" వంటి పదాల ఉపయోగం మరియు ఆమోదయోగ్యం కాని సాధారణీకరణలు. ఇతర నామినీలు:
    • Asus ఫర్మ్‌వేర్ నవీకరణ సేవపై షాడోహామర్ దాడి;
    • "అన్‌హ్యాక్ చేయదగినది" అని ప్రచారం చేయబడిన BitFi వాల్ట్‌ను హ్యాకింగ్ చేయడం;
    • వ్యక్తిగత డేటా లీక్‌లు మరియు టోకెన్లు Facebookకి యాక్సెస్.

మూలం: opennet.ru

ఒక వ్యాఖ్యను జోడించండి