Windows 10 снова взломана на конкурсе Pwn2Own

В этом году в конкурсе Pwn2Own 23 команды и исследователи будут нацелены на десять различных продуктов в категориях веб-браузеры, виртуализация, серверы, локальное повышение привилегий и корпоративные коммуникации

Новая дешевая RTX 3060 в Ситилинке

RTX 3060 в Регарде - смотри цену СИДЯ

RTX 3070 Gigabyte Gaming в Ситилинке

Эта новость написана посетителем сайта, и за неё начислено вознаграждение.

Во второй день конкурса Pwn2Own 2021 участники дважды взломали ОС Microsoft Windows 10 вместе с веб-браузером Google Chrome и платформой видеосвязи Zoom.

Первым, кто продемонстрировал успешный эксплойт Windows 10 в среду и заработал 40 000 долларов, был Тао Ян из Palo Alto Networks, который использовал ошибку Race Condition для перехода к привилегиям SYSTEM от обычного пользователя на полностью исправленном компьютере с Windows 10.

анонсы и реклама

48Gb RTX 8000 - не такая дорогая на сегодня

MSI 3080 в Ситилинке - смотри цену

Еще одна RTX 3080 пришла в Ситилинк

Цена рухнула на порядок на RX 6700XT

6000р скидка на 1Tb SSD в Регарде

Rocket Lake в Compeo.ru

Intel 11xxx Rocket Lake в Регарде

Гора 6700XT в Регарде по самым низким ценам

75" LG IPS за 4 352 000р - смотри характеристики

Windows 10 была взломана во второй раз с использованием недокументированной уязвимости целочисленного переполнения для повышения разрешений до NT Authority \ SYSTEM исследователем, известным как z3r09. Это также принесло ему 40 000 долларов после повышения привилегий от обычного (непривилегированного) юзера.

Операционная система Microsoft была взломана в третий раз в течение первого дня Pwn2Own командой Viettel, которая повысила привилегии обычного пользователя до SYSTEM, используя еще одну ранее неизвестную ошибку переполнения целых чисел.

Команда Viettel также продемонстрировала цепочку эксплойтов выполнения кода на сервере Microsoft Exchange Server на второй день. Тем не менее, их участие было сочтено частично успешным, учитывая, что некоторые из использованных ими ошибок были ранее сообщены в первый день соревнований командой Devcore.

На второй день Бруно Кейт и Никлас Баумстарк из Dataflow Security также заработали 100 000 долларов после использования средства визуализации в браузерах Google Chrome и Microsoft Edge на основе Chromium с использованием ошибки несоответствия типов.

Zoom Messenger также был взломан Daan Keuper и Thijs Alkemade из Computest. Они заработали 200 000 долларов, выполнив код на целевой машине с помощью цепочки эксплойтов, объединяющей три различных ошибки.

И последнее, но не менее важное: Ubuntu Desktop во второй раз был взломан Манфредом Полом, который получил привилегии root и заработал 30 000 долларов.

В третий и последний день Pwn2Own 2021 участники снова будут нацелены на продукты Microsoft Windows 10 и Exchange, а также на Ubuntu Desktop и Parallels Desktop.

В течение первых двух дней соревнований в этом году исследователи безопасности впервые превысили отметку в 1 миллион долларов на Pwn2Own после успешной демонстрации эксплойтов, которые в общей сложности принесли им 1 060 000 долларов.

После выявления уязвимостей, для выпуска обновлений и исправлений выявленных ошибок, поставщикам программного и аппаратного обеспечения дается 3 месяца.

Общий призовой фонд доступный участникам Pwn2Own 2021 составляет более 1,5 миллиона долларов, а также Tesla Model 3. Однако, согласно общедоступному графику, ни одна команда до сих пор не подписалась на демонстрацию эксплойта, нацеленного на автомобиль Tesla.

Этот материал написан посетителем сайта, и за него начислено вознаграждение.

Подпишитесь на наш канал в Яндекс.Дзен или telegram-канал @overclockers_news - это удобные способы следить за новыми материалами на сайте. С картинками, расширенными описаниями и без рекламы.

Оценитe материал

рейтинг: 3.0 из 5
голосов: 2

Добавить в закладки Спасибо автору