in

Pwn2Own 2021 – Güvenlik araştırmacıları Exchange, Teams, Zoom, Safari, Chrome, Edge, Parallels, Windows, Ubuntu’yu hackliyor

Pwn2Own 2021 - Güvenlik araştırmacıları Exchange, Teams, Zoom, Safari, Chrome, Edge, Parallels, Windows, Ubuntu'yu hackliyor 12

Pwn2Own tekrar geri döndü ve hackleme yarışması bir kez daha güvenli bir yazılım ürünü diye bir şey olduğu yanılsamalarımızı yok etmeyi başardı.

3 günlük etkinliğin 2. Gününe kadar 1,5 milyon dolarlık ödül için yarışan ekipler şimdiden toplamda 1,06 milyon dolar kazandı ve denedikleri hemen hemen her platformda başarılı olmuş görünüyorlar.

Bu yıl güvenlik araştırmacıları, Web Tarayıcıları, Sanallaştırma, Sunucular, Yerel Ayrıcalık Yükseltme ve – en yeni kategorimiz – Kurumsal İletişim kategorilerinde 10 ayrımlı ürünü hedefliyorlardı.

Şimdiye kadarki başarılı girişimlerin kayıtları şunları içerir:

6 Nisan Salı

1000 – RET2 Systems hedeflemesinden Jack Tarihleri Apple Safari Web Tarayıcısı kategorisinde

BAŞARI – Jack, Safari’de bir tamsayı taşması ve çekirdek düzeyinde kod yürütülmesi için bir OOB Yazma kullandı. Bunu yaparken 100.000 $ ve 10 Master of Pwn puanı kazanır.

1130 – DEVCORE hedefleme Microsoft değişimi Sunucu kategorisinde

BAŞARI – DEVCORE ekibi, Exchange sunucusunu devralmayı tamamlamak için bir kimlik doğrulama atlama ile yerel bir ayrıcalık yükseltmeyi birleştirdi. 200.000 $ ve 20 Master of Pwn puanı kazanıyorlar.

1300 – OV hedeflemeye giden araştırmacı Microsoft Teams Kurumsal İletişim kategorisinde

BAŞARI – OV, Microsoft Teams’de kod yürütülmesini göstermek için bir çift hatayı birleştirdi. Bunu yaparak, kendisine 200.000 $ ve Master of Pwn’a karşı 20 puan kazanıyor.

1430 – Viettel Takımı hedeflemesi Windows 10 Yerel Ayrıcalık Yükseltme kategorisinde

BAŞARI – Ekip, normal bir kullanıcıdan SİSTEM ayrıcalıklarına yükseltmek için Windows 10’da bir tamsayı taşması kullandı. Bu onlara 40.000 $ kazandırır ve Master of Pwn’a 4 puan kazandırır.

1630 – Flatt Security Inc’den Ryota Shiga hedefleniyor Ubuntu Masaüstü Yerel Ayrıcalık Yükseltme kategorisinde

BAŞARI – Ryota, standart bir kullanıcıdan Ubuntu Masaüstünde root’a geçmek için bir OOB erişim hatası kullandı. İlk Pwn2Own oyununda 30.000 $ ve 3 Master of Pwn puanı kazandı.

7 Nisan Çarşamba

09:00 – RET2 Systems hedeflemesinden Jack Tarihleri Parallels Masaüstü Sanallaştırma kategorisinde

BAŞARI – Jack üç hatayı birleştirdi – başlatılmamış bellek sızıntısı, yığın taşması ve Parallels Desktop’tan kaçmak ve temeldeki işletim sisteminde kod çalıştırmak için bir tamsayı taşması. 40.000 $ ve 4 Master of Pwn puanı daha kazanır. İki günlük toplamı şimdi 140.000 dolar ve 14 puan.

1000 – Bruno Keith (@kafadergisi) Ve Niklas Baumstark (@nebiiyildiz) Dataflow Güvenliği (@dfsec_it) hedefleme Google Chrome ve Microsoft Edge (Chromium) Web Tarayıcısı kategorisinde

BAŞARI – Ekip, Chrome oluşturucudan ve Microsoft Edge’den yararlanmak için bir Typer Mismatch hatası kullandı. Aynı istismar her ikisi de tarayıcılar. Toplam 100.000 $ ve 10 Master of Pwn puanı kazanıyorlar.

1130 – Viettel Takımı hedeflemesi Microsoft değişimi Sunucu kategorisinde

KISMİ – Team Viettel, Exchange sunucusunda kod yürütme becerilerini başarılı bir şekilde gösterdi, ancak istismar zincirlerinde kullandıkları bazı hatalar daha önce yarışmada bildirilmişti. Bu, kısmi bir kazanç olarak sayılır, ancak onlara 7,5 Master of Pwn puanı kazandırır.

1300 – Computest hedeflemesinden Daan Keuper ve Thijs Alkemade Yakınlaştır Messenger Kurumsal İletişim kategorisinde

BAŞARI – Computest’ten Daan Keuper ve Thijs Alkemade, Zoom messenger’ı kullanmak ve hedef sistemde kod yürütmek için üç hata zinciri kullandı – hepsi hedef hiçbir şeye tıklamadan. Kendilerine 200.000 $ ve 20 Master of Pwn puanı kazanıyorlar.

1430 – Tao Yan (@Ga1ois) Palo Alto Networks hedeflemesi Windows 10 Yerel Ayrıcalık Yükseltme kategorisinde

BAŞARI – Tao Yan, tamamen yamalanmış Windows 10 makinesinde SYSTEM’e yükseltmek için bir Yarış Durumu hatası kullandı. Master of Pwn’a karşı 40.000 $ ve 4 puan kazanır.

1530 – Sunjoo Park (diğer adıyla grigoritchy) hedefleme Parallels Masaüstü Sanallaştırma kategorisinde

BAŞARI – Sunjoo Park (aka grigoritchy), Parallels Desktop aracılığıyla temel işletim sisteminde kod yürütmek için bir mantık hatası kullandı. Master of Pwn’a karşı 40.000 $ ve 4 puan kazandı.

1630 – Manfred Paul hedefliyor Ubuntu Masaüstü Yerel Ayrıcalık Yükseltme kategorisinde

BAŞARI – Manfred, Ubuntu Masaüstünde bir kök kullanıcıya yükseltmek için bir OOB Erişim hatası kullandı. Pwn2Own emektarı 30.000 $ kazanır ve Master of Pwn’a 3 puan kazanır.

1730 – Z3r09 hedeflemesi olarak bilinen araştırmacı Windows 10 Yerel Ayrıcalık Yükseltme kategorisinde

BAŞARI – z3r09, izinlerini NT Authority SYSTEM’e yükseltmek için bir tamsayı taşması kullandı. Etkileyici ekranı ona 40.000 $ kazandırıyor ve Master of Pwn’a 4 puan kazandırıyor.

8 Nisan Perşembe

09:00 – L3Harris Trenchant hedeflemesinden Benjamin McBride Parallels Masaüstü Sanallaştırma kategorisinde

BAŞARI – Ben, ana işletim sisteminde kodu Parallels Masaüstü içinden başarılı bir şekilde yürütmek için bir bellek bozulması hatası kullandı. 40.000 $ ve 4 Master of Pwn puanı kazanır.

1000 – Source Incite hedeflemesinden Steven Seeley Microsoft değişimi Sunucu kategorisinde

KISMİ – Steven gösterisinde iki benzersiz böcek kullanmış olsa da, bu girişim, istismarın Ortadaki Adam özelliği nedeniyle kısmi bir galibiyetti. Yine de harika bir araştırma ve 7.5 Master of Pwn puanı kazanıyor.

1130 – Billy’nin STAR Labs ekibi Ubuntu Masaüstü Yerel Ayrıcalık Yükseltme kategorisinde

KISMİ – Billy, ayrıcalıklarını başarılı bir şekilde root’a yükseltebilmiş olsa da, kullandığı hata satıcı tarafından biliniyordu ve yakında yamalanacak. Gösteri ona 2 ek Master of Pwn puanı kazandırır.

1230 – Synacktiv hedeflemeden Fabien Perigaud Windows 10 Yerel Ayrıcalık Yükseltme kategorisinde

KISMİ – Gösteri sırasında ASCII sanatının mükemmel kullanımına rağmen, Microsoft’un kullandığı hatanın ayrımında olduğu ortaya çıktı. Kısmi galibiyet için hala 2 Master of Pwn puanı kazanıyor.

1330 – Alisa Esage hedefleme Parallels Masaüstü Sanallaştırma kategorisinde

KISMİ – Büyük gösteriye rağmen (ASCII sanatı ile dolu), Alisa tarafından kullanılan hata yarışma öncesinde ZDI’ye bildirilmiş ve bu da bunu kısmi bir galibiyet haline getirmiştir. Hala harika bir iş ve Pwn2Own tarihinde bağımsız bir araştırmacı olarak katılan ilk kadın olarak çığır açtığı için çok heyecanlıyız. Çabaları, Maser of Pwn’a doğru iki puanla sonuçlanır.

1430 – Synacktiv hedeflemesinden Vincent Dehors Ubuntu Masaüstü Yerel Ayrıcalık Yükseltme kategorisinde

BAŞARI – Bunun Linux için yazdığı ilk istismar olduğunu kabul etmesine rağmen, Vincent’ın çifte özgür bir hatadan köklenmeye yükselme konusunda hiçbir sorunu yoktu. Kendisine 30.000 $ ve 3 Master of Pwn puanı kazanır.

1530 – Da Lao hedefleme Parallels Masaüstü Sanallaştırma kategorisinde

BAŞARI – Da Lao olarak bilinen araştırmacı, Parallels’teki konuktan ev sahibine kaçışını başarılı bir şekilde tamamlamak için bir OOB Yazma kullandı. Master of Pwn’a karşı 40.000 $ ve 4 puan kazanır.

1630 – Marcin Wiazowski hedeflemesi Windows 10 Yerel Ayrıcalık Yükseltme kategorisinde

BAŞARI – Marcin, Windows 10’da SYSTEM’e yükseltmek için Ücretsiz Sonra Kullan (UAF) hatası kullandı. Kendisine 40.000 $ ve 4 Master of Pwn puanı kazandı.

Tedarikçilerin, bildirilen tüm güvenlik açıkları için bir düzeltme üretmek için 90 günleri vardır.

Etkinliği kaçırdıysanız, takip edebilirsiniz Youtube, Seğirmeve konferans site burada.

üzerinden Bilgisayar.



Kaynak

Yorumlar

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.

Loading…

0

Bu içerik hakkında sen ne düşünüyorsun?

Facebook, Müslüman karşıtı nefret söylemini durdurmakta başarısız olduğu için dava açtı 33

Facebook, Müslüman karşıtı nefret söylemini durdurmakta başarısız olduğu için dava açtı

Instagram Nasıl Kullanılır? Instagram Kullanırken Dikkat Edilmesi Gerekenler Nelerdir? - Teknoloji Haberleri 34

Instagram Nasıl Kullanılır? Instagram Kullanırken Dikkat Edilmesi Gerekenler Nelerdir? – Teknoloji Haberleri