Awọn olubori ti Ọdọọdun Pwnie Awards 2021 ni a ti pinnu, ti n ṣe afihan awọn ailagbara pataki julọ ati awọn ikuna aibikita ni aaye aabo kọnputa. Awọn Awards Pwnie ni a gba pe o jẹ deede ti Oscars ati Rasipibẹri Golden ni aabo kọnputa.
Awọn olubori akọkọ (akojọ awọn oludije):
- Ailagbara escalation ti o dara julọ. Iṣẹgun naa ni a fun ni si Qualys fun idamo ailagbara CVE-2021-3156 ninu ohun elo sudo, eyiti o fun laaye lati gba awọn anfani gbongbo. Ailagbara naa ti wa ninu koodu fun bii ọdun 10 ati pe o jẹ akiyesi fun otitọ pe itupalẹ pipe ti ọgbọn ti ohun elo naa ni a nilo lati ṣe idanimọ rẹ.
- Kokoro olupin ti o dara julọ. Ti a fun ni idamọ ati lo nilokulo eka imọ-ẹrọ pupọ julọ ati kokoro ti o nifẹ ninu iṣẹ nẹtiwọọki kan. Iṣẹgun naa ni a funni fun idamo fekito tuntun ti awọn ikọlu lori Microsoft Exchange. Alaye nipa kii ṣe gbogbo awọn ailagbara ti kilasi yii ni a ti tẹjade, ṣugbọn alaye ti ṣafihan tẹlẹ nipa ailagbara CVE-2021-26855 (ProxyLogon), eyiti o fun laaye yiyọkuro data lati ọdọ olumulo lainidii laisi ijẹrisi, ati CVE-2021-27065, eyiti o ṣe o ṣee ṣe lati ṣiṣẹ koodu rẹ lori olupin pẹlu awọn ẹtọ alakoso.
- Ti o dara ju cryptographic kolu. Ti a funni fun idamo awọn abawọn pataki julọ ni awọn eto gidi, awọn ilana, ati awọn algoridimu fifi ẹnọ kọ nkan. Ẹbun naa ni a fun Microsoft fun ailagbara kan (CVE-2020-0601) ni imuse ti awọn ibuwọlu oni nọmba elliptic ti o le ṣe awọn bọtini ikọkọ lati awọn bọtini gbangba. Iṣoro naa gba laaye ẹda ti awọn iwe-ẹri TLS iro fun HTTPS ati awọn ibuwọlu oni nọmba airotẹlẹ, eyiti o jẹri ni Windows bi igbẹkẹle.
- Julọ aseyori iwadi. Aami-eye naa ni a fun awọn oniwadi ti o dabaa ọna BlindSide fun lilọ kiri Adirẹsi Randomization Based Leverage (ASLR) aabo nipasẹ lilo awọn n jo ikanni ẹgbẹ ti o waye lati ipaniyan akiyesi ti awọn ilana nipasẹ ero isise naa.
- Ikuna ti o tobi julọ (Ọpọlọpọ Apọju FAIL). Aami-eye naa ni a fun Microsoft fun atunṣe fifọ-itusilẹ pupọ fun ailagbara PrintNightmare (CVE-2021-34527) ninu eto titẹ Windows ti o fun ọ laaye lati ṣiṣẹ koodu rẹ. Ni akọkọ, Microsoft ṣe afihan iṣoro naa bi agbegbe, ṣugbọn lẹhinna o han pe ikọlu naa le ṣee ṣe latọna jijin. Lẹhinna Microsoft ṣe atẹjade awọn imudojuiwọn ni igba mẹrin, ṣugbọn ni gbogbo igba ti atunṣe naa ti pa ọran pataki kan nikan, ati pe awọn oniwadi wa ọna tuntun lati gbe ikọlu naa.
- Kokoro to dara julọ ni sọfitiwia alabara. Olubori ni oniwadi ti o ṣe idanimọ ailagbara CVE-2020-28341 ni awọn olutọpa Samsung crypto to ni aabo ti o gba ijẹrisi aabo CC EAL 5+ kan. Ailagbara jẹ ki o ṣee ṣe lati fori aabo patapata ati ni iraye si koodu ti a ṣe lori chirún ati data ti o fipamọ sinu enclave, fori titiipa ipamọ iboju, ati tun ṣe awọn ayipada si famuwia lati ṣẹda ẹhin ti o farapamọ.
- Awọn julọ underestimated palara. A fun ni ẹbun naa fun Qualys fun idamo lẹsẹsẹ awọn ailagbara 21Nails ninu olupin meeli Exim, 10 eyiti o le jẹ ilokulo latọna jijin. Awọn olupilẹṣẹ Exim ṣiyemeji nipa ṣiṣeeṣe ti ilo awọn iṣoro naa ati lo diẹ sii ju awọn oṣu 6 ni idagbasoke awọn atunṣe.
- Ihuwasi pupọ julọ ti olupese (Idahun Olutaja Lamest). Yiyan fun esi ti ko bojumu julọ si ijabọ ailagbara ninu ọja tirẹ. Olubori ni Cellebrite, ile-iṣẹ kan ti o kọ itupalẹ oniwadi ati awọn ohun elo iwakusa data fun agbofinro. Cellebrite dahun ni aibojumu si ijabọ ailagbara ti a fiweranṣẹ nipasẹ Moxie Marlinspike, onkọwe ti Ilana Ifihan. Moxxi nifẹ si Cellebrite lẹhin nkan media kan nipa ṣiṣẹda imọ-ẹrọ kan ti o fun laaye gige sakasaka awọn ifiranṣẹ ifihan agbara ti paroko, eyiti o jẹ iro ni nigbamii nitori itumọ alaye ti ko tọ ninu nkan kan lori oju opo wẹẹbu Cellebrite, eyiti o yọkuro lẹhinna (“ ikọlu naa” nilo iraye si ti ara si foonu ati agbara lati ṣii iboju, ie dinku si wiwo awọn ifiranṣẹ ninu ojiṣẹ, ṣugbọn kii ṣe pẹlu ọwọ, ṣugbọn lilo ohun elo pataki kan ti o ṣe adaṣe awọn iṣe olumulo).
Moxxi ṣe iwadi awọn ohun elo Cellebrite o si rii awọn ailagbara pataki nibẹ ti o gba laaye koodu lainidii lati ṣiṣẹ nigbati o n gbiyanju lati ṣe ọlọjẹ data apẹrẹ pataki. Ohun elo Cellebrite ni a tun rii pe o nlo ile-ikawe ffmpeg ti igba atijọ ti ko ti ni imudojuiwọn fun ọdun 9 ati pe o ni nọmba nla ti awọn ailagbara ti ko parẹ. Dipo ki o jẹwọ awọn iṣoro naa ati atunṣe awọn iṣoro naa, Cellebrite ti ṣe alaye kan pe o bikita nipa otitọ ti data olumulo, ṣe itọju aabo awọn ọja rẹ ni ipele ti o yẹ, tu awọn imudojuiwọn deede ati awọn ohun elo ti o dara julọ ti iru rẹ.
- Aṣeyọri ti o tobi julọ. A fun ni ẹbun naa Ilfak Gilfanov, onkọwe ti IDA disassembler ati Hex-Rays decompiler, fun ilowosi rẹ si idagbasoke awọn irinṣẹ fun awọn oniwadi aabo ati agbara rẹ lati tọju ọja naa titi di ọjọ 30 ọdun.
orisun: opennet.ru