Платим блогерам
Блоги
Anykey911
В этом году в конкурсе Pwn2Own 23 команды и исследователи будут нацелены на десять различных продуктов в категориях веб-браузеры, виртуализация, серверы, локальное повышение привилегий и корпоративные коммуникации

реклама

Во второй день конкурса Pwn2Own 2021 участники дважды взломали ОС Microsoft Windows 10 вместе с веб-браузером Google Chrome и платформой видеосвязи Zoom.

реклама

Первым, кто продемонстрировал успешный эксплойт Windows 10 в среду и заработал 40 000 долларов, был Тао Ян из Palo Alto Networks, который использовал ошибку Race Condition для перехода к привилегиям SYSTEM от обычного пользователя на полностью исправленном компьютере с Windows 10.

Windows 10 была взломана во второй раз с использованием недокументированной уязвимости целочисленного переполнения для повышения разрешений до NT Authority \ SYSTEM исследователем, известным как z3r09. Это также принесло ему 40 000 долларов после повышения привилегий от обычного (непривилегированного) юзера.

Операционная система Microsoft была взломана в третий раз в течение первого дня Pwn2Own командой Viettel, которая повысила привилегии обычного пользователя до SYSTEM, используя еще одну ранее неизвестную ошибку переполнения целых чисел.

Команда Viettel также продемонстрировала цепочку эксплойтов выполнения кода на сервере Microsoft Exchange Server на второй день. Тем не менее, их участие было сочтено частично успешным, учитывая, что некоторые из использованных ими ошибок были ранее сообщены в первый день соревнований командой Devcore.

На второй день Бруно Кейт и Никлас Баумстарк из Dataflow Security также заработали 100 000 долларов после использования средства визуализации в браузерах Google Chrome и Microsoft Edge на основе Chromium с использованием ошибки несоответствия типов.


Zoom Messenger также был взломан Daan Keuper и Thijs Alkemade из Computest. Они заработали 200 000 долларов, выполнив код на целевой машине с помощью цепочки эксплойтов, объединяющей три различных ошибки.

И последнее, но не менее важное: Ubuntu Desktop во второй раз был взломан Манфредом Полом, который получил привилегии root и заработал 30 000 долларов.

В третий и последний день Pwn2Own 2021 участники снова будут нацелены на продукты Microsoft Windows 10 и Exchange, а также на Ubuntu Desktop и Parallels Desktop.

В течение первых двух дней соревнований в этом году исследователи безопасности впервые превысили отметку в 1 миллион долларов на Pwn2Own после успешной демонстрации эксплойтов, которые в общей сложности принесли им 1 060 000 долларов.

После выявления уязвимостей, для выпуска обновлений и исправлений выявленных ошибок, поставщикам программного и аппаратного обеспечения дается 3 месяца.

Общий призовой фонд доступный участникам Pwn2Own 2021 составляет более 1,5 миллиона долларов, а также Tesla Model 3. Однако, согласно общедоступному графику, ни одна команда до сих пор не подписалась на демонстрацию эксплойта, нацеленного на автомобиль Tesla.

10
Показать комментарии (10)

Популярные новости

Сейчас обсуждают