Microsoft Windows 10, Exchange и Teams первыми взломали на Pwn2Own

Microsoft Windows 10, Exchange и Teams первыми были взломаны на конкурсе Pwn2Own. Фото: Pixabay

Первым «упал» Microsoft Exchange в категории серверов после того, как команда Devcore добилась удалённого выполнения кода на сервере Exchange, объединив воедино обход проверки подлинности и локальное повышение привилегий. Это принесло им 200 000 долларов и 20 очков Master of Pwn, сообщает Bleeping Computer.

Читайте в тему:

• Facebook не планирует сообщать, входите ли вы в число пользователей, чьи данные украли.
• VMware расширяет защиту облачных рабочих нагрузок для контейнеров и Kubernetes.
• Windows 10 21H2 заблокирует компьютер, если не увидит вас возле него.

Затем исследователь безопасности, использующий онлайн-прозвище OV, успешно добился выполнения кода в Microsoft Teams в категории Enterprise Communications, объединив две отдельные ошибки безопасности. Он также заработал 200 000 долларов и 20 очков Master of Pwn.

Команда Viettel заработала 40 000 долларов и 4 очка Master of Pwn после повышения привилегий до SYSTEM от обычного пользователя в Windows 10 во время соревнований в категории Local Escalation of Privilege.

Бизнесу: Android получит поддержку Rust. Ещё один язык нужен для предотвращения ошибок памяти.

В первый день Джек Дейтс из RET2 Systems также выиграл 100 тыс. долларов после успешного выполнения кода на уровне ядра в macOS с использованием целочисленного переполнения Apple Safari и ошибок записи.

Рёта Шига из Flatt Security выиграл 30 тыс. долларов за ошибку OOB-доступа, которая позволяет получить root-права на настольной машине Ubuntu.

Команде STAR Labs не удалось заставить свои эксплойты работать в отведённое время при попытке использовать Oracle VirtualBox и Parallels Desktop в категории виртуализации.

Во второй день конкуренты Pwn2Own также нацелятся на Google Chrome, Microsoft Edge (Chromium), Zoom Messenger, а другие попробуют свои силы в использовании других новых ошибок в Microsoft Exchange, Windows 10, Ubuntu Desktop и Parallels Desktop.

После того, как уязвимости будут использованы и раскрыты в ходе Pwn2Own, поставщикам программного и аппаратного обеспечения даётся 90 дней на разработку и выпуск исправлений безопасности для всех обнаруженных уязвимостей.

В ходе  конкурса Pwn2Own 2021 23 команды и исследователи будут нацелены на десять различных продуктов в категориях веб-браузеры, виртуализация, серверы, локальное повышение привилегий и корпоративные коммуникации.

Офтоп: Twitter хотел купить Clubhouse. Сумма потенциальной сделки — 4 миллиарда долларов.

В период с 6 по 8 апреля участники Pwn2Own смогут заработать более 1500000 долларов наличными и призами, включая Tesla Model 3.

Команда Fluoroacetate была первой, кто выиграл Tesla Model 3  Pwn2Own после взлома информационно-развлекательной системы автомобиля на основе хрома два года назад.

Они также заработали 375000 долларов на Pwn2Own 2019 после демонстрации эксплойтов для Apple Safari, Oracle VirtualBox, VMware Workstation, Mozilla Firefox и Microsoft Edge.

Как ранее сообщил Startpack, компания Cisco исправила ошибку в своём ПО, которая позволяла удалённо выполнять код с правами root. Узнайте, что сделать, чтобы избежать атаки.

Startpack также подготовил список VPN-сервисов (Virtual Private Network). VPN предлагает дополнительный уровень безопасности, шифруя все данные, например, IP-адреса, которые передаются по сети. Это обеспечивает анонимность пользователя в сети и предотвращает утечку конфиденциальных бизнес-данных.

Особая рекомендация: Proton VPN — высокоскоростной швейцарский VPN, который гарантирует конфиденциальность пользовательских данных.

Полезная новость? Прокомментируйте её или кликните на значок "+" ниже!