Microsoft Windows 10, Exchange и Teams первыми взломали на Pwn2Own
Этичные хакеры уже заработали 440 тысяч долларов, на кону ещё 1,5 миллиона
В первый день конкурса «белых» хакеров Pwn2Own 2021 участники выиграли 440 тыс. долларов после успешного использования ранее неизвестных уязвимостей для взлома ОС Microsoft Windows 10, почтового сервера Exchange и коммуникационной платформы Teams.
Microsoft Windows 10, Exchange и Teams первыми были взломаны на конкурсе Pwn2Own. Фото: Pixabay
Первым «упал» Microsoft Exchange в категории серверов после того, как команда Devcore добилась удалённого выполнения кода на сервере Exchange, объединив воедино обход проверки подлинности и локальное повышение привилегий. Это принесло им 200 000 долларов и 20 очков Master of Pwn, сообщает Bleeping Computer.
Читайте в тему:
- Facebook не планирует сообщать, входите ли вы в число пользователей, чьи данные украли.
- VMware расширяет защиту облачных рабочих нагрузок для контейнеров и Kubernetes.
- Windows 10 21H2 заблокирует компьютер, если не увидит вас возле него.
Затем исследователь безопасности, использующий онлайн-прозвище OV, успешно добился выполнения кода в Microsoft Teams в категории Enterprise Communications, объединив две отдельные ошибки безопасности. Он также заработал 200 000 долларов и 20 очков Master of Pwn.
Команда Viettel заработала 40 000 долларов и 4 очка Master of Pwn после повышения привилегий до SYSTEM от обычного пользователя в Windows 10 во время соревнований в категории Local Escalation of Privilege.
Бизнесу: Android получит поддержку Rust. Ещё один язык нужен для предотвращения ошибок памяти.
В первый день Джек Дейтс из RET2 Systems также выиграл 100 тыс. долларов после успешного выполнения кода на уровне ядра в macOS с использованием целочисленного переполнения Apple Safari и ошибок записи.
Рёта Шига из Flatt Security выиграл 30 тыс. долларов за ошибку OOB-доступа, которая позволяет получить root-права на настольной машине Ubuntu.
Команде STAR Labs не удалось заставить свои эксплойты работать в отведённое время при попытке использовать Oracle VirtualBox и Parallels Desktop в категории виртуализации.
Во второй день конкуренты Pwn2Own также нацелятся на Google Chrome, Microsoft Edge (Chromium), Zoom Messenger, а другие попробуют свои силы в использовании других новых ошибок в Microsoft Exchange, Windows 10, Ubuntu Desktop и Parallels Desktop.
После того, как уязвимости будут использованы и раскрыты в ходе Pwn2Own, поставщикам программного и аппаратного обеспечения даётся 90 дней на разработку и выпуск исправлений безопасности для всех обнаруженных уязвимостей.
В ходе конкурса Pwn2Own 2021 23 команды и исследователи будут нацелены на десять различных продуктов в категориях веб-браузеры, виртуализация, серверы, локальное повышение привилегий и корпоративные коммуникации.
Офтоп: Twitter хотел купить Clubhouse. Сумма потенциальной сделки — 4 миллиарда долларов.
В период с 6 по 8 апреля участники Pwn2Own смогут заработать более 1500000 долларов наличными и призами, включая Tesla Model 3.
Команда Fluoroacetate была первой, кто выиграл Tesla Model 3 Pwn2Own после взлома информационно-развлекательной системы автомобиля на основе хрома два года назад.
Они также заработали 375000 долларов на Pwn2Own 2019 после демонстрации эксплойтов для Apple Safari, Oracle VirtualBox, VMware Workstation, Mozilla Firefox и Microsoft Edge.
Как ранее сообщил Startpack, компания Cisco исправила ошибку в своём ПО, которая позволяла удалённо выполнять код с правами root. Узнайте, что сделать, чтобы избежать атаки.
Startpack также подготовил список VPN-сервисов (Virtual Private Network). VPN предлагает дополнительный уровень безопасности, шифруя все данные, например, IP-адреса, которые передаются по сети. Это обеспечивает анонимность пользователя в сети и предотвращает утечку конфиденциальных бизнес-данных.
Особая рекомендация: Proton VPN — высокоскоростной швейцарский VPN, который гарантирует конфиденциальность пользовательских данных.
Полезная новость? Прокомментируйте её или кликните на значок "+" ниже!
Комментариев пока не было