Sıradaki içerik:

Android Yazılımı WhatsApp Aracılığıyla Bilgilerinizi Çalabilir

e
sv

Microsoft’un Windows 10, Exchange ve Takımları Pwn2Own’da hacklendi

10 Nisan 2021 14:29
avatar

admin

  • e 0

    Mutlu

  • e 0

    Eğlenmiş

  • e 0

    Şaşırmış

  • e 0

    Kızgın

  • e 0

    Üzgün

Microsoft'un Windows 10 Exchange ve Takımları Pwn2Own'da hacklendi

Pwn2Own 2021’in ilk gününde yarışmacılar, Microsoft’un Windows 10 işletim sistemini, Exchange posta sunucusunu ve Teams iletişim platformunu hacklemek için önceden bilinmeyen güvenlik açıklarını başarıyla kullandıktan sonra 440.000 $ kazandı.

Devcore ekibi, bir kimlik doğrulama atlama ve yerel ayrıcalık yükseltme zincirini birbirine bağlayarak bir Exchange sunucusunda uzaktan kod yürütmeyi başardıktan sonra, Sunucu kategorisine ilk giren Microsoft Exchange oldu. Bu onlara 200.000 $ ve 20 Master of Pwn puanı kazandırdı.

Daha sonra, OV çevrimiçi adını kullanan bir güvenlik araştırmacısı, iki ayrı güvenlik hatasını birleştirerek Kurumsal İletişim kategorisindeki Microsoft Teams’de kod yürütmeyi başarıyla elde etti. Ayrıca 200.000 $ ve 20 Master of Pwn puanı kazandı.

Team Viettel, Yerel Ayrıcalık Arttırma kategorisinde rekabet ederken Windows 10’da normal bir kullanıcının ayrıcalıklarını SYSTEM’e yükselttikten sonra 40.000 $ ve 4 Master of Pwn puanı kazandı.

İlk gün, RET2 Systems’ın Jack Dates’i, bir Apple Safari tamsayı taşması  ve  Sınır Dışı Yazma  hataları kullanarak macOS’ta çekirdek düzeyinde kod yürütmeyi başarılı bir şekilde elde ettikten sonra 100.000 $ kazandı.

Flatt Security’den Ryota Shiga, Ubuntu Masaüstü makinesinde kök kazanmaya izin veren bir OOB erişim hatası için 30.000 $ kazandı. STAR Labs ekibi, Sanallaştırma kategorisinde Oracle VirtualBox ve Parallels Desktop’tan yararlanmaya çalışırken, istismarlarının ayrılan sürede çalışmasını sağlayamadı.

İkinci gün, Pwn2Own rakipleri ayrıca Google Chrome, Microsoft Edge (Chromium), Zoom Messenger’ı hedef alırken, diğerleri Microsoft Exchange, Windows 10, Ubuntu Desktop ve Parallels Desktop’taki diğer yeni hatalardan yararlanmaya çalışacak.

Güvenlik açıklarından yararlanıldıktan ve Pwn2Own sırasında ifşa edildikten sonra, yazılım ve donanım satıcılarına bildirilen tüm güvenlik açıkları için güvenlik düzeltmeleri geliştirmeleri ve yayınlamaları için 90 gün süre verilir.

1.500 Milyon Dolar Ödül Kazanabilecekler

Pwn2Own 2021 yarışması sırasında 23 ekip ve araştırmacı, Web Tarayıcıları, Sanallaştırma, Sunucular, Yerel Ayrıcalık Yükseltme ve Kurumsal İletişim kategorilerindeki on farklı ürünü hedef alacak. 6 Nisan ile 8 Nisan arasında Pwn2Own yarışmacıları, Tesla Model 3 dahil olmak üzere 1.500.000 $ ‘dan fazla nakit ve ödül kazanabilecekler.

Takım Floroasetat, iki yıl önce otomobilin Chromium tabanlı bilgi-eğlence sistemini hackledikten sonra Tesla Model 3 Pwn2Own’u kazanan ilk kişi oldu.

Ayrıca Apple Safari, Oracle VirtualBox, VMware Workstation, Mozilla Firefox ve Microsoft Edge için açıklardan yararlanarak Pwn2Own 2019’da 375.000 $ kazandılar.

  • Site İçi Yorumlar

En az 10 karakter gerekli